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摘要 


基于 360 安 全 大 脑 全 网 安全 数据 和 第 三 方 公 开 情 报 数据 综合 研判 , 2020 年 
级 持续 性 威胁 整 本 态势 如 下 : 


To} 


2020 年 中 国 仍 是 APT 攻 击 主要 受害 者 , 针对 我 国 的 攻击 持续 上 升 , 其 中 政府 、 
教育 和 国防 军工 相关 单位 是 重点 被 攻击 目标 。 我们 今年 共 披露 了 23 个 APT 组 
织 涉及 全 球 范围 的 攻击 活动 , 针对 中 国 地 区 发 起 攻击 的 组 织 13 个 。 


全 球 范 围 内 政府 、 国 防 军工 依然 是 APT 攻 击 的 首要 目标 。 今 年 发 生 了 全 球 史上 
最 严重 的 供应 链 攻击 , 致使 全 球 31 个 国家 数 百 家 重要 核心 组 织 机 构 陷 落 。 针 对 
供应 链 的 攻击 , 尤其 是 |T 供 应 商 的 攻击 未 来 将 常态 主流 化 。 疫情 背景 下 医疗 行 
业 的 威胁 凸显 。 伴随 着 5G 和 物 联网 技术 的 迅速 发 展 , 物 联 网 设备 已 成 为 APT 
组 织 新 的 战备 物资 。 涉及 数字 货币 的 攻击 频 发 , 这 类 新 兴 领 域 面 兆 战 。 


A We 


X 
SE 


新 冠 疫情 冲击 下 直接 带 来 的 是 以 聚焦 远程 办 公 突 破 口 、 围 绕 新 冠 疫情 话题 攻 
击 、 针 对 医疗 行业 窃取 抗 疫情 报 等 使 得 APT 威 胁 愈 演 愈 烈 。 另 一 方面 疫情 全 球 
从 多 维度 冲击 着 国际 关系 构建 和 国际 秩序 走向 , 安全 秩序 中 的 对 立 格 局 凸 
T, 各 方 全 面 战略 竞争 加 剧 , 由 此 刺激 下 的 APT 攻 击 威胁 进一步 加 剧 。 


利用 0day 漏 洞 攻击 持续 活跃 , 但 由 于 攻击 成 本 高 , 供应 链 攻 击 的 更 高 性 价 比 ， 
APT 组 织 在 选用 0dqoy 攻 击 时 会 更 加 着 愤 保 守 。 越 来 越 多 的 APT 组 织 正在 参与 
开发 针对 移动 设备 的 武器 工具 。 恶意 通信 流量 与 正常 流量 混合 已 成 趋势 , 给 现 
流量 安全 检测 带 来 巨大 挑战 。 


意图 为 破坏 、 窃 密 的 针对 性 勒索 攻击 将 不 断 出 现 ; 越 来 越 多 的 未 知 APT 组 织 
始 涌现 b» APT 组 织 归属 还 需 进 行 长 期 持续 下 判 。: F FA [B Ax 的 复杂 攻击 和 全 
新 组 织 将 会 陆续 披露 。 
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2020*5F Brice Bl va. 


2020 年 初 , 在 新 冠 疫情 给 全 球 格 局 带 来 新 的 冲击 影响 下 , 全 球 APT 攻 击 活 
动 异 常 活跃 。 全 年 公开 报告 数量 687 篇 , 其 中 涉及 披露 的 组 织 132 个 , 首次 
披露 的 组 织 25 个 。 主要 集中 已 知 组 织 的 新 攻击 活动 , 越 来 越 多 的 未 知 APT 
组 织 开 始 涌现 。 另外 我 们 也 发 现 大 量 已 知 组 织 开始 不 断 拓展 战场 , 主要 从 
攻击 目标 地 域 和 涉及 行业 领域 都 有 显著 的 变化 , 如 海 莲 花 组 织 更 多 采用 攻 
击 供应 商 策略 , 并 更 聚焦 教育 行业 。"“ 新 冠 肺炎 疫情 ”已 成 为 今年 攻击 利 
用 最 频繁 的 话题 , 在 疫情 影响 下 数字 时 代 最 大 规模 的 一 次 远程 办 公 迁 徙 ， 
随 之 带 来 了 一 系列 严重 的 安全 问题 , 远程 办 公 成 为 APT 攻 击 “ 众 矢 之 的 ”。 
全 球 范围 内 APT 攻 击 活动 涉及 的 领域 主要 围绕 地 缘 政 治 涉及 政府 、 国 防 军 
I. 金融 等 , 另外 针对 |T 供 应 商 、 医 疗 行业 的 攻击 显著 上 升 , 尤其 是 供应 商 
[p] t X SK BP eB , 也 是 继 APT 组 织 使 用 0day 武 器 后 现 阶段 最 优选 的 攻 
击 战术 。 今 年 12 月 披露 了 针对 SolarWinds 公 司 供应 链 攻击 的 “落座 行 
z”, 是 全 球 史上 最 严重 的 供应 链 攻击 , 由 此 也 暴露 出 供应 商 演变 成 全 行 
业 的 安全 短 板 。 
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境外 APT 组 织 针对 我 国 的 攻击 持续 上 升 , 全 年 公开 报告 中 涉及 中 国 地 区 遭 
受 攻击 的 报告 数量 最 多 , 进一步 依托 360 安 全 大 脑 和 基于 公开 数据 综合 研 
判 , 我 们 发 现 2020 年 中 国 仍 是 APT 攻 击 主要 受害 者 。 依 托 强大 的 安全 能 
J, 360 在 过 去 数 年 发 现 了 44 个 其 他 国家 背景 的 APT 组 织 , 监测 到 3000 多 
次 对 中 国 的 国家 级 网 络 攻击 。 我 们 今年 共 披露 了 23 个 APT 组 织 涉及 全 球 范 
围 的 攻击 活动 , 针对 中 国 地 区 发 起 攻击 的 组 织 13 个 , 其 中 首次 披露 的 组 织 
4 个 , 如 魔 鼠 、 蓝 色魔 眼 和 旺 刺 等 组 织 。 针 对 中 国 地 区 攻击 的 APT 组 织 不 仅 
数量 最 多 , 其 攻击 能 力也 是 全 球 顶尖 。 


Bm (APT-C-42) 7 月 


BERR (APT-C-41) 10B 
我 们 监测 到 该 组 织 在 今年 1 月 首次 针对 中 国 发 起 攻 

击 , 并 捕获 V4 版 本 的 攻击 组 件 。 此 

次 攻击 的 针对 性 


BER (APT-C-47) 


12 月 我 们 披露 了 该 组 织 利 用 ClickOnce 恶 意 
程序 的 攻击 行动 。 这 是 一 起 来 自 朝 鲜 半 岛 地 区 
未 知 APT 组 织 的 攻击 行动 , 攻击 行动 可 以 追溯 到 
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上 半年 , 我 们 多 次 披露 Darkhote| 组 织 利 用 浏览 器 0day、VPN 0day 等 漏 
洞 针 对 我 国 重要 机 构 发 起 定向 攻击 。 这 些 攻 击 组 织 使 用 大 量 0day、 供 应 商 


战术 、 首 次 针对 远程 办 公 基 础 设施 等 最 新 技 战术 并 不 惜 成 本 的 首次 应 用 在 针 


对 我 国 的 战场 上 。 


今年 在 新 冠 肺炎 疫情 和 单 边 主义 保护 主义 等 多 重 压力 之 下 , 中 


国货 物 贸 易 进 


出 口 同 比 逆 势 增长 1,9%, 成 为 全 球 唯一 外 贸 正 增长 主要 经 济 
治 因 素 、 新 冠 肺炎 疫情 的 持续 影响 等 长 期 问题 , 以 及 从 针对 我 国 活跃 组织 


体 。 由 于 地 缘 


数量 不 断 的 增加 趋势 推测 , 尤其 在 围绕 “十 四 五 规划 ”和 2035 年 远景 目标 等 
相关 政策 方向 、 新 技术 研究 落地 期 间 , 这 类 多 个 人 PT 组 织 都 会 规 探 的 领域 ， 
相关 攻击 会 更 活跃 。 我 们 预测 明年 针对 中 国 的 国家 级 网 络 攻击 , 活跃 组 织 的 


数量 和 攻击 活跃 程度 可 能 会 超过 今年 。 


360 政 企 安全 定位 是 “新 时 代 的 网 络 安全 运营 商 ”, 向 国家 和 


是 
网 络 安全 运营 能 力 , 为 国家 、 城 市、 行业 构建 安全 防护 “铜墙铁壁 ”。 


所 有 城市 输送 
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针对 中 国 的 APT 攻 击 


360 高 级 威胁 研究 院 持 续 监 控 发 现 , 针对 中 国 地 区 的 APT 组 织 累 计 44 个 , 监测 到 3000 多 次 对 中 国 的 
国家 级 网 络 攻 击 。2020 年 共 披 露 了 13 个 组 织 针对 中 国 地 区 的 攻击 活动 , 其 中 首次 披露 的 组 织 4 个 , 如 
魔 鼠 、 蓝 色魔 眼 和 旺 刺 等 组 织 。 今年 境外 APT 组 织 针对 我 国 相关 重要 机 构 或 个 人 的 攻击 活动 异常 频繁 ， 
较 去 年 持续 上 升 , 其 中 南亚 、 东 南亚 和 东亚 的 APT 组 织 最 为 活跃 。 相 天 攻击 活动 主要 涉及 我 国政 府 、 教 
和 国防 军工 相关 单位 , 另外 针对 | 供应 商 和 医疗 行业 的 攻击 大 幅 上 升 。 


图 


基于 相关 攻击 频次 、 被 攻击 单位 数量 、 受 影响 设备 数量 、 技 战术 迭代 频次 等 多 个 指标 , 我 们 对 今年 
针对 中 国 地 区 发 起 攻击 的 APT 组 织 , 相关 攻击 活跃 度 进行 综合 评估 , 其 中 老牌 APT 组 织 海 莲 伦 、 
Daorkhotel 和 蔓 灵 伦 等 组 织 长 期 持续 活跃 , 而 CNC、 旺 刺 等 组 织 更 多 是 阶段 性 攻击 活路 , TOPLO 
组 织 列 表 具 体 如 表 所 示 。 


Ee eee | 


TOPL 海 莲 花 (APT-C-00) BUR IT. 教育 等 
TOP2 Darkhotel (APT-C-06) 政府 、 能源 等 
TOP3 & x45 (APT-C-08 教育 、 国 防 军工 、 科 研 等 
TOP4 = Bike (APT-C-O1 政府 、 科 研 等 
TOPS mÆ (APT-C-24 ESI; 2E TL. BM, RAS 
TOPS 潜行 者 (APT-C-30 通信 、 政 府 等 
TOP7 魔 鼠 (APT-C-42) IT. 科研 、 通信 等 
TOP8 Lazarus (APT-C-26) 数字 货币 、 政 府 等 
TOPO 蓝 色 魔 眼 (APT-C-41) 和 军工、 政府 等 
TOP10 CNC (APT-C-48) 国防 军工 、 政府 等 
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01 南亚 


南亚 地 区 主要 活路 的 组 织 是 葛 灵 花 和 响尾蛇 , CNC 组 织 主 要 在 年 初 国内 疫情 爆发 期 间 , 针对 重要 单 
位 发 起 集中 攻击 。2020 年 1 月 末 , 我 们 立即 对 相关 重点 客户 进行 预警 加 强 防 范 , 我 们 可 以 看 到 从 2 月 


中 旬 开 始 相 关 攻 击 已 经 收敛 缓解 。 


但 在 短暂 停歇 后 , 从 3 月 中 旬 开 始 响 尾 蛇 、 葛 灵 伦 陆续 展开 集中 大 规模 攻击 , 其 攻击 频次 和 


对 我 国贸 易 和 军工 领域 。 


ge S 


目标 范 


FE 


SN 11 月 未 , 2020 年 度 
中 国 南 亚 学 会 年 会 茎 
X PEEL 
— 
eh 6 月 中 旬 , 南亚 活动 加 剧 

Es 

a^ 

CA 


2 月 初 , 各 高 校 、 重 点 
位 针对 南亚 APT 组 织 集 


中 攻击 预警 通告 


较 去 年 大 幅 增 加 。 值得 注意 的 是 相关 攻击 会 主要 围绕 热点 事件 展开 , 如 6 月 响尾蛇 针对 某 高 校 发 起 集 
中 攻击 ; 7 月 开始 葛 灵 花 组 织 发 起 新 的 一 轮 攻 击 “ 季 风行 动 *”; 11 月 相关 攻击 活动 非常 频繁 , 尤其 针 


B 2020 年 南亚 APT 组 织 针 对 中 国 地 区 攻击 趋势 


PART 02 针对 中 国 的 APT 攻 击 


LNK | 


Ink 文 件 
启动 
E 创建 计划 任务 远程 加 载 Fos 
bà -— uu 
chm 文 件 msiexec.exe 
恶意 宏文 档 


| 通过 EQNEDT32,EXE 启 动 


wE 远程 加 载 EN 
一 ! 


远程 模板 注入 文档 CVE 2018-0798 


1 &zit(APT-C-08) 


的 正常 文件 


2 下 载 执行 Fe 
— 
这 


功能 组 件 


蔓 灵 花 组 织 , MRM “Bitter”, " APT- C-08" ,是 一 个 针对 中 国 、 


织 。 最早 披 露 于 2016 年 , 主要 针对 军工 、 核能、 政府 等 


巴基斯坦 等 国家 的 APT 组 


FB] Fe :8 AB BRE AAA E R fol IR BAY 


阶段 手法 较为 多 变 , 存在 使 用 chm 文 件 、 恶 意 宏 文档、 远程 模板 注入 文档 、Imk 文 件 和 自 解 压 程序 
等 多 种 方式 。 但 后 续 代码 执行 阶段 则 较为 固定 , 通常 为 使 用 msi 部 署 


Downlooader 下 载 其 他 功能 组 件 。 


Downloader 或 直接 释放 


BH Sxcc 


攻击 流程 
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其 中 , 在 今年 9 月 份 开 始 出 现 的 chm 文 档 中 , BREE 
期 性 的 从 远程 服务 器 加 载 msi 文 件 。 通过 该 方式 达成 无 文件 的 DownNloader。 加 大 安全 人 员 分 析 难 


E, 提高 其 攻击 流程 结构 的 隐蔽 性 。 


此 外 相关 技 战 术 与 19 年 一 致 , 通过 克隆 我 国 或 巴基斯坦 中 敏感 部 门 或 机 构 的 邮箱 系统 。 通 过 投递 邮 


件 的 方式 , 窃取 用 户 邮箱 账号 和 密码 。 对 于 今年 发 现 的 钓鱼 邮箱 网 页 , 根据 其 模仿 特点 , 可 以 分 为 


个 批 次 。 


通过 cnmn 文件 中 内 蔡 的 脚本 创建 计划 任务 周 


I 


Follow 


B 图 1 仿冒 某 大 学 邮件 系统 W 图 2 github 部 署 钓鱼 网 站 1 


3 github 部 署 钓鱼 网 站 2 
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此 外 , 蕊 灵 花 还 在 今年 使 用 了 多 种 技术 成 熟 的 公开 远 控 , 如 QuUuasorRAT, AsyncRAT, 
DarktrackRAT 以 及 价格 高 达 $878.007/3 个 月 的 WarZoneRAT。 


在 攻击 目标 方面 , 相 比 往年 , 今年 蔓 灵 伦 的 攻击 的 频率 在 六 月 份 以 后 大 幅 提高 , 主要 针对 贸易 、 军 工 和 
外 交 等 方面 。 并 且 在 月份 举办 进 博 会 的 时 间 点 前 后 , 发 起 集中 攻击 , 其 中 某 外 贸 机 构 受 影响 严重 。 
同时 , 还 通过 “国家 社 科 基金 项 目 ,exe“ 以 及 ”中 国 南 亚 语种 学 会 2020 年 会 邀请 图 ,exe “Sis EX 
档 对 我 国 研究 南亚 的 社会 科学 学 者 进行 攻击 。 


《国家 社 科 基金 项 目 结 项 指南 》. 


1 鉴定 结 项 成 果 (PDF 或 图 片 格式 ) 一 一 将 项 目 全 部 最 终 成 果 上 传 因 采取 匿名 鉴 
定 方式 ， 请 隐 去 成 果 中 的 项 目 负 责 人 和 成 员 姓 名 、 项 目 承担 单位 等 信息 再 上 传 。 如 
果 是 修改 后 第 二 次 申请 鉴定 或 修改 复审 的 项 目 ， 请 提交 成 果 修改 稿 和 修改 说 明 (E = — 


改 说 明 要 归纳 整理 专家 全 部 修改 意见 ， 对 按照 专家 意见 进行 修改 的 内 容 要 标明 章节 
和 页 码 ， 对 没有 参照 修改 的 章 见 要 子 以 说 明 ) o- 


可 上 传 多 个 附件 ， 每 个 附件 文件 大 小 限 60K， 最 多 可 上 传 50 个 附件 。* nan, salt cs 


PüRYARTARUDK AP 


SUP t def ROL. AREAREN RE. EEF 2021 HE 11 810 DOE" EXE 


成 果 形式 为 专题 论文 集 的 项 目 ， 论 文集 开头 要 对 项 目 研究 目标 、 单 入 论文 的 主 at opa rp 
要 内 容 及 其 与 总 目标 的 对 应 关系 、 论 文 是 否 发 表 等 情况 作 一 个 概述 性 说 明 。 收 录 的 ~ wana, 


1 887 ARFER ERRANSA: 


2 EHOCUL E RUE P LS E REC R 


3, EZ OFLA, 


E] 5 4. BEL TONER CUL ARNOLD CORR 
5. 南亚 二 言 文理 和 历史 文化 。 
7s FM, 2021 年 1 月 #0 日 


1.2021 年 1 月 8 日 所 到 
2.201 5 1H H 1930 VEREOR HO A £i 
3.20 年 1 月 9 日 全 天 学 术 研讨 


4.2021 年 1 用 10 HL LAEAEKEH PLI. PUTA 


we gru sou: 
BUR. DMEM, PURUS coo AIA. MIP AERA UR 


E. RARES 


R] 
Os 


y» 


邀请 函 ” 诱饵 文档 


dn 


“中 国 南 亚 语种 学 会 2020 重 


R] 
[os 


W 图 5 “国家 社 科 基金 项 目 ” 诱饵 文档 Wt 
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2, 响 尾 蛇 (APT-C-24) 


向 尾 蛇 组 织 在 今年 使 用 的 攻击 框架 相对 固定 , 主要 使 用 Imk 以 及 漏洞 文档 来 进行 攻击 , 通过 JS 反射 来 
加 载 ,Net 程 序 , 最 终 通过 白 样 本 利用 驻 留 在 受害 者 设备 上 。 相 关 攻 击 活动 主要 针对 我 国 军工 、 能 源 以 
及 外 交 领 域 等 。 在 今年 6 月 中 旬 , 响尾蛇 使 用 “疫情 优秀 教师 推荐 表 ” 相关 文档 针对 某 大 学 发 起 多 起 
定向 攻击 , 并 在 其 中 初次 使 用 了 “CVE-2017-0199” 和 “CVE-2020-0674” 的 组 合 漏洞 文档 进 
行 攻击 。 


= 


SO) SPORE RR IS (535 UT HERE 


die. Lum uVo252* J - 


开课 方式 上 课时 间 ( | 选课 学 
( 十 课堂 /视频 会 议 /其 它 ) 星期 节 次 ) 生 数 
| 
| 


在 线 教学 特色 ( 选 填 , 采用 若干 关键 词 评价 自己 的 在 线 教学 特点 ， 如 "技术 达 人 
"、“ 互 动 高 手 "、“ 精 彩 课件 "、' 教 学 创新 ".….….. 等 ) 


在 线 教学 先进 事迹 ( 200 字 左右 口 口 


院 系 推荐 意见 品 


教学 改革 和 创新 ( 特别 奖 必 填 、 优 秀 奖 选 填 ) C 


= 


响尾蛇 投递 的 攻击 样本 种 类 繁多 , 但 在 使 用 的 后 门 程序 多 为 rekeywiz,exe 的 白 利用 , 通过 
rekey wize.exeJllaDuser.all, 进一步 解密 同一 文件 夹 下 的 ”,tmp” 文 件 并 加 载 至 内 存 运 行 , 通 
过 创建 两 个 定时 器 从 服务 器 接收 指令 并 执行 对 应 功能 , 从 而 达到 窃取 设备 上 敏感 信息 的 目的 。 此外， 
我 们 还 捕获 到 响尾蛇 使 用 C 〇 语言 编写 的 Downloaadem 通过 从 服务 器 或 注册 表 下 载 JovaScript 脚 
本 , 反射 加 载 ,Net DLL。 在 其 下 发 的 JovaScript 脚 本 中 , 我 们 捕获 到 三 个 不 同 功能 的 组 件 。 


B 图 “疫情 优秀 教师 推荐 表 ” 诱 乌 文 档 
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3.CNC (APT-C-48) 


CNC 组 织 是 于 2019 年 新 出 现 的 组 织 , 由 于 其 使 用 
字样 , 所 以 将 该 组 织 命名 为 CNC。 该 组 织 主 要 攻击 对 象 为 我 国 军 工 和 教育 行业 , 并 且 在 疫情 爆发 期 
[B], 通过 伪造 疫情 相关 的 文档 以 及 钓鱼 


的 远程 控制 木马 的 PDB 包 含 了 “cnc 


_client “BY 


网 站 对 


笑 疗 行业 发 起 攻击 。 


音符 :请 尽快 完成 以 下 内 容 " 


你 提供 的 信息 将 有 助 于 加 强 疫情 监测 和 报告 工作 ， 所 有 同志 和 工作 人 员 必 须 在 最 近 
15 天 内 提供 他 们 到 武汉 的 旅行 或 与 来 自 武汉 的 人 见面 的 信息 。 如 不 符合 上 述 条 件 


请 提交 没有 详细 资料 的 表格 。。 
请 填写 以 下 资料 : 
人 信息 。 你 通 到 的 人 的 细节 。 
姓名 。 当前 位 置 。 姓名 。 当前 位 置 。 C 
口 本 人 确认 此 表格 所 提供 的 资料 真实 、 完 整 及 准确 。。 
提交 


| — o* -eccuse scesece 


这 是 一 个 受 保护 的 文档 ， 点击 “启用 内 容 ” 以 填写 详细 信息 


请 填写 不 适用 并 发 


送 〈 如 果 需 要 ) : 


武汉 旅行 信息 收集 申请 表 


你 遇 到 的 人 的 细节 


姓名 


姓名 当前 位 置 


通过 文档 加 载 恶 意 宏 或 Shell,.Explorer.1 OLE, 从 服务 器 下 载 专属 远 控 程 序 到 设备 上 。 对 设备 进行 


远程 控制 。 与 其 他 南亚 APT 组 织 不 同 的 是 , 该 组 织 
组 织 擅长 使 用 其 他 多 种 语言 。 


有 pyinstaller 打 包 的 py 脚本 , 搜集 


敏感 信息 , 并 上 传 到 


Dropbox 上 。 也 有 go@ 语 言 台 


用 的 CNC 远 控 程 序 为 64 位 环境 


iX, BCNC 


目标 设备 上 Chrome、360 浏 览 器 、UC 浏 览 器 和 QQ 浏览 器 的 


持久 化 、 键 盘 记录 窃取 文件 、 屏 幕 截取 等 功能 。 


写 的 远 控 程序 , 相关 指令 功能 简单 ， 


1s SAN 


W 仿冒 卫 健 委 相 关 诱 乌 文 档 
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02 东亚 


12h (APT-C-01) ME% (APT-C-12) 


2020 年 初 , 在 新 冠 疫情 给 全 球 格局 带 来 新 的 冲 


影响 下 , 境外 APT 组 织 针对 我 国 的 攻击 活动 异常 频 


繁 。 HHS ZE (APT-C-01) . Be (APT-C-12) 为 首 的 东亚 地 区 APT 组 织 , 相关 攻击 活动 


持续 活路 。 这 两 个 组 织 均 长 


东亚 APT 团 伙 , BORE RS 


期 针对 国内 政府 、 军 工 、 教 


2020 年 初 , 在 国内 抗击 疫情 


期 站 


标 用 户 邮 箱 账 号 和 密码 。 后 续 使 有 
门 程序 等 , 6 月 初 该 组 织 开 始 针 对 特定 单一 
不 频繁 , 但 持续 活跃 , 而 且 今 年 8 月 在 针对 
技 战术 。 毒 云 芯 11 月 有 一 次 集中 钓鱼 攻击 , 这 次 目标 依然 主要 


等 领域 的 重要 机 构 实 施 网 络 间 谍 攻 击 活动 的 
的 攻击 活动 可 以 追溯 到 200/ 年 , 监 宝 菇 可 追溯 到 2011 年 。 


| 毒 云 膝 组 织 利用 新 型 冠状 肺炎 进行 了 钓鱼 攻击 , 主要 用 于 窃取 目 
各 类 诱饵 主题 的 鱼 又 邮件 , 针对 特定 
目标 开始 实施 钓鱼 攻击 。 相 上 
国内 某 重 点 机 构 的 两 次 攻击 活动 中 , 该 组 织 进一步 升级 了 


目标 投递 Ink 恶 意 附件 安装 后 


F 较 来 看 蓝 宝 车 组 织 的 攻击 并 


FE 


绕 军 工 、 高 校 相关 企业 单位 。 


东亚 APT 组 织 独 有 的 战术 特点 是 , 相关 攻击 围绕 军工 行业 周边 相关 单位 进行 迁 回 攻击 , 而 较 少 直接 针 


对 具体 军工 单位 发 起 正面 攻击 , 但 从 2020 年 开始 这 一 作战 策略 也 开始 尝试 升级 , 即 基于 原 有 的 迁 


战术 之 外 , 也 开始 尝试 直接 攻击 具体 军工 单位 。 


1l 


u 


W 某 博览 会 诱饵 文档 
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2.Darkhotel (APT-C-06) 


Darkhotel 组 织 是 一 个 活跃 十 多 年 的 APT 组 织 , 于 2014 年 被 卡巴 斯 基 披露 , 攻击 活动 最 早 可 追 淹 
到 2010 年 。 该 组 织 因 针对 入 住 高 档 酒店 的 商贸 高 管 和 国家 政要 而 得 名 , 攻击 目标 范围 涉及 中 国 、 朝 


鲜 、 日 本 、 缅 甸 等 , 主要 目的 是 窃取 敏感 数据 信息 。 该 组 织 擅长 使 用 漏洞 攻击 , 尤其 在 0day 漏 洞 储备 
方面 非常 丰富 。 
“利用 多 个 0day 漏 洞 


年 初 , 微软 正式 宣告 Nindows 7 系统 停止 更 新 。 在 这 个 关键 的 时 间 节 点 , APT-C-06 使 用 双 
星 0doay 浏 览 器 漏洞 对 中 国 商 贸 相 关 的 政府 机 构 发 起 攻击 ”, 这 两 个 0day 漏 油分 别 是 Internet 
Explorer 浏 览 器 漏洞 (CVE-2020-0674) ,Firefox 浏 览 器 漏洞 (CVE-2019-17026)。 此 次 攻 
击 是 利用 office 漏 洞 文档 、 网 页 挂 马 和 VVPAD 本 地 提 权 的 多 种 攻击 方式 进行 的 复杂 组 合 攻击 。 这 不 
是 APT-C-06 第 一 次 使 用 浏览 器 0day 漏 洞 , 2018 年 360 就 披露 过 该 组 织 利 用 “ 双 杀 ”漏洞 进行 攻 
击 活动 , 这 些 都 表明 该 组 织 在 漏洞 方面 深厚 的 技术 储备 。 


今年 3 月 疫情 期 间 , 360 安 全 大 脑 追 踪 发 现 DarkHotel| 组 织 通 过 利用 国内 某 VPN 软 件 O0doy 漏 洞 ， 
对 我 国 驻 外 、 政 府 等 机 构 发 起 大 规模 攻击 。 期 间 DoarkHotel 使 用 了 一 个 从 未 被 披露 过 的 全 新 后 门框 
架 一 一 Thinmon。2020 年 公开 报告 中 Dorkhotel 组 织 使 用 的 0day 漏 洞 均 由 360 政 企 安全 率先 
发 现 并 预警 防范 。 


= 


SRC-2020-281 国内 某 广 商 VPN 2020 年 4 月 /日 


CVE-2020-0674 Internet Explorer 2020 年 2 月 11 日 


CVE-2019-17026 Firefox 202041488 


W 2020 年 公开 披露 的 DarkHeotel 组 织 Dday 漏 洞 利 用 情 ; 


T 
a 
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"Thinmon 和 Ramsay 家 族 


2019 年 6 月 , 我 们 通过 


Darkhotel 自 定义 的 加 密 算法 关联 到 新 的 攻击 术 


前 发 现 的 |lucker 后 门 程 


TEESE, 由 于 该 


匡 架 的 核心 


及 其 它 一 些 文件 名 命名 , A 

今 , 今年 3 月 (疫情 期 间 ) Darkhotel 利 
近 受 影响 。 根 

器 、 安 全 软件 服务 端 ) 下 发 并 执行 恶意 
里 的 攻击 组 件 并 劫持 相关 服务 , 实现 长 


VPN 供应 链 对 


i 


我 们 的 研究 发 现 , 攻击 者 一 般 会 通过 内 网 
本 和 含有 thinmn 


期 驻 留 。 Thinmoni 


加 密 的 的 形式 存放 在 改 


记录 、 远程 监 控 。 


时 


目录 , 只 有 在 需要 是 才 会 被 加 载 , 插件 功能 包括 屏幕 截 


EA, 该 框架 在 插件 部 分 于 之 
组 件 主 要 以 thinmon.dll、 wlbsctrl.dllbA 


此 我 们 将 此 次 行动 命名 为 thinmon, 这 次 行动 从 201 7 年底 一 直 活 路 至 


国内 实施 大 规模 攻击 , 造成 多 个 企 事业 单位 
环境 的 服务 器 (如 , 〇 A 服务 器 、VPN 服 务 
on 组 件 的 压缩 包 , 恶意 脚本 会 释放 压缩 包 
匡 架 主要 用 来 加 载 其 他 插件 模块 。 插 件 以 
图 、 文 件 穷 取 、 键盘 


Iw 
DLL] < 
FH 演变 FH 插件 一 插件 FH 
ES" — Ex ss 7] - 
Retro Lucker 键盘 记录 Thinmon 
Iw 
<q 
核心 后 门 组 件 DLL 核心 后 门 组 件 
U 盘 窃取 
LN xor 64 字 节 的 表 EN 
DLL DLL 
msfte.dll thinmon.dll 
| 相同 的 文件 名 和 导出 国 数 名 
»* AccessDebuglracer 
| AccessRetallTracer 
LN 核心 后 门 组 件 
«—————————— 
DLL E 
rnsfte.dll Ramsay 


WB Thinmon 和 Ramsay 家 族 
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另外 , 今年 五 月 份 , ESET 发 布 的 研究 报告 Romsgy' A cyber espionage toolkit tailored 


for air gapped networks) * , 报告 称 他 们 发 现 了 一 个 新 型 


的 网络 间谍 机 


相同 的 Token、 算 法、 文件 名 和 技术 等 等 。 


由 于 Thinmon 和 Ramsay 都 由 Retro 关 联 而 来 , 因此 我 们 认为 他 们 可 能 为 同一 家 族 , 可 能 


Ramsay. 该 框架 专 为 收集 和 泄露 敏感 文档 而 构建 , 并 且 可 以 感染 包括 移动 介质 内 的 其 他 正常 文件 ， 
对 此 突破 隔离 网 络 是 另 一 个 主要 特征 。 此 外 , 报告 里 还 提 到 Ramsay 与 Retro 存 在 诸多 关联 , 例如 


ER, 并 将 其 命名 为 


用 场景 和 针对 的 目标 不 同 , 产生 了 不 同 的 变种 。 但 是 他 们 又 有 


民 多 的 不 同 , Ramsay 


AA 


E 架 可 以 自身 完 


成 收集 文件 、 与 C2 服务 器 通信 等 功能 , 并 且 还 能 感染 其 他 文件 , 而 Thinmon 只 能 收集 计算 机 基本 
信息 、 解 密 加 载 其 他 插件 , 没有 通信 、 收集 文件 的 功能 , 更 不 能 感染 其 他 文件 。 


3.Lazarus (APT-C-26) 


APT-C-26(Lazarus 音译 '" 拉 撤 路 ") 是 从 2009 年 以 来 至 今 一 直 处 于 活跃 的 APT 组 织 , 据 国 外 


安全 公司 调查 显示 , 该 组 织 最 早 的 攻击 可 能 和 2007 年 针对 韩 


国政 府 网 站 大 规模 DDGOS 攻 击 的 


“Operation Flame” 行动 相关 , 同时 可 能 是 2014 年 索尼 影 业 遭 黑客 攻击 事件 , 2016 年 孟加拉 


近 几 年 针对 国内 的 攻击 活动 频繁 活跃 , 多 家 数字 货币 交易 平 


MATA 框 架 是 近期 被 卡巴 斯 基 披 露 的 一 个 多 平台 恶意 软件 框架 


MacOS 等 多 个 主流 平台 , 并 拥有 多 个 不 同 功能 的 攻击 组 件 。 该 恶意 框架 的 受害 者 广泛 分 布 在 
» 日 本 和 印度 等 地 区 , 可 能 与 Lazarus 组 织 存在 关联 。 


德国 , 土耳其 , 韩国 


s 


国 银 行 数据 泄露 事件 和 2017 年 席卷 全 球 的 “Wannacry ”勒索 病毒 等 著名 攻击 事件 的 幕后 组 织 。 
E201 7 年 以 来 , Lazarus 组 织 将 攻击 目标 不 断 扩大 , 日 趋 以 经 济 利 
融 机 构 银行 系统 进行 攻击 , 开始 转向 于 针对 全 球 数 字 货 币 组 织 和 术 


目的 , 从 针对 全 球 的 传统 金 
目 关 机 构 以 及 个 人 进行 攻击 , 尤其 在 
台 已 遭受 攻击 。 


Windows, Linuxil 


波兰 ， 
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今年 9 月 , 我 们 披露 了 《暴风 行动 - Lazarus(APT-C-26)4 


击 活动 揭秘 》” 。 在 


u— 


用 MATA 框 架 针 对 数字 货币 行业 的 攻 


ATA 框 架 被 披露 后 , 360 高 级 威胁 研究 院 依靠 360 


安全 大 脑 针 对 MATA 框 架 


的 攻击 活动 进行 了 追踪 溯源 , 进而 发 现 了 一 类 利用 MATA 框 架 针 对 加 密 货 币 行业 相关 人 员 的 攻击 活 


动 。 众所周知, Lazarus w4 


击 目标 的 行业 属性 看 , 这 次 攻击 活动 所 涉及 的 


F 来 常 以 金融 、 数 字 货 币 等 行业 人 员 为 攻击 目标 展开 APT 行 动 。 从 攻 
目标 行业 , 也 同样 是 Lazaruws 组 织 所 感 兴 趣 的 。 从 攻击 


技术 手法 看 , Lazarus 组 织 近年 针对 数字 货币 行业 的 攻击 , 擅长 改造 相关 行业 所 常 使 用 的 开源 软件 


植 入 后 门 程序 进行 社会 工程 学 攻击 , 而 此 次 的 攻击 活动 也 使 用 了 类 似 的 了 
MATA 框 架 可 能 和 Lazaruws 组 织 存在 关联 。 


F 法 。 这 些 现象 都 间接 显示 


1. lsitsafe to depositto yourwallet? 


Li Yes 
Li No 


Write your Answer More 
2. Is it possible to deposit for Crypto-Currency and Fiat-Currency? 


Li Yes 
Li No 


Write your Answer More 
If possible, please list coins such as BTC, ETH, etc. 


3. How much amount can you deposit at once? 


O Over 10 million Dollar 
O Over 50 million Dollar 
O Over 100 million Dollar 
O Over 500 million Dollar 


y AlticGO 


Our Services 


Welcome To AlticGO 


Nh 


W 图 1 定制 化 调查 文档 


W 图 2 伪装 成 alticgo 交 易 软 件 网 站 
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后 门 木马 7 
Be BHHIO— (12 人 家族) OO SET MEAR 
e Cat DB 
miza | eee : | — i ht aBa | | 钱包 客 引 等 关 欠 信息 


; QtBitcoinTrader 


NAA = Woridbit-bot | WE. OM | bod | zu 
bad i | Union Crypto Trade | | ye ag 1 | | [ea 
exse | | | mi MN | i 
| az i Fi Suieaeae | 
ME NU 
| ] MATA} ] 


! H 诱饵 文档 | | | ' 6| LA 
Himes | | (如 调查 问卷 ) ! | ] | ] | ”其 他 敏感 信息 
其 他 投 送 方 式 | i , | i ' i 号 他 教 尽 信息 

i | 1 i 1 ! (如 浏览 器 cookie) 


步骤 1: 利用 鱼 叉 邮 件 或 |M 社 交工 具 定 向 攻击 数字 货币 从 业 人 员 ; 


步骤 2: 进一步 会 投递 伪装 的 交易 软件 或 诱饵 文档 , 伪装 的 交易 软件 有 : alticgo、Celas Trade 
Pro. Worlabit-bot. Union Crypto Trade. QtBitcoin Trader; 


步骤 3: 进一步 捆绑 的 软件 或 诱饵 文档 最 终 会 释放 相关 后 门 木 马 \ 二 2 个 家 族 ) , 其 中 有 代表 性 的 主要 
是 manuscrypt HTTPBackdoor 和 MATA; 


步骤 4: 从 Lazarus 历 史 其 他 攻击 活动 技 战术 分 析 等 , 攻击 者 在 获得 单一 目标 权限 后 , 并 不 能 马上 获 
得 相关 目标 数据 或 密 钥 , 还 需 进一步 渗透 拓展 才能 完全 和 持续 掌控 。 但 由 于 我 们 暂 未 发 现 具体 的 横向 
移动 攻击 行为 , 所 以 初步 判定 疑似 相关 攻击 并 且 存 在 的 可 能 性 很 高 ; 


步骤 5: Lazarus 主 要 目标 是 窃取 相应 交易 所 热钱 包 私 钥 , 由 此 达到 窃取 相应 数字 货币 的 目标 , 但 从 
相关 后 门 功能 分 析 , 完全 具备 窃取 如 浏览 器 敏感 信息 或 文档 数据 等 功能 。 以 及 Lazarus 历 史 其 他 攻 
击 活动 分 析 , 其 攻击 意图 除 经 济 犯罪 以 外 , 还 会 涉及 很 多 政治 目的 。 


通过 对 受 影响 用 户 初步 分 析 , 其 中 大 部 分 是 数字 货币 交易 所 人 员 , 也 有 少量 进行 数字 货币 交易 的 普 
通用 户 。 其 中 交易 所 主要 涉及 : OKEX、 多 比 (Dobitrade) 、 中 币 (ZB)、 富 比特 (FUBT)、D 网 数字 
(DAEX) 等 交易 所 。 进一步 基于 鱼 叉 邮 件 、 捆绑 后 门 软件 等 分 析 , 相关 人 员 角 色 既 有 交易 所 管理 层 ， 

也 有 具体 开发 运 维 等 人 员 。 


E Lazarus 组 织 窃 取 数 字 货 币 主 要 攻击 流程 
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4 BERI (APT-C-47) 


360 高 级 威胁 研究 院 今 年 12 月 披露 了 “ 旺 刺 ”“ 组 织 , 该 组 织 利 用 钓鱼 邮件 投递 ClickOnce 恶 意 程 
序 的 攻击 行动 。 经 过 深入 研判 分 析 , 发 现 这 是 一 起 来 自 朝鲜 半岛 地 区 未 被 披露 和 PT 组 织 的 攻击 行动 ， 
受害 者 涉及 与 半岛 地 区 有 关联 的 实体 机 构 和 个 人 , 该 组 织 的 攻击 行动 可 以 追溯 到 2018 年 。 由 于 此 次 
攻击 活动 属于 360 全 球 首 次 捕获 披露 , 我 们 根据 该 组 织 擅长 攻击 技术 的 谐音 , 将 其 命名 为 “ 旺 刺 ”组 
织 , 并 为 其 分 配 了 新 编号 APT-C-47。 


ClickOnce 是 近年 来 微软 发 布 的 一 种 软件 部 署 技术 , 它 可 以 创建 基于 Windows 的 自 更 新 应 用 程 
序 , 让 这 些 应 用 程序 可 以 在 用 户 交 互 最 少 的 情况 下 安装 和 运行 。 2019 年 的 美国 Blackhot 大 会 上 ， 
美国 国土 安全 部 所 属 CISA 局 的 攻防 专家 曾 公布 了 利用 最 新 的 Click 〇 Once 扩展 文件 Cappref- 
ms) 进行 恶意 攻击 的 技术 原理 "。 该 攻击 方式 区 别 于 常规 的 恶意 软件 植 入 , 由 于 微软 设计 的 安装 交互 
方式 , 使 其 非常 容易 被 用 于 诱导 安装 恶意 软件 。 


"攻击 流程 分 析 


该 组 织 通过 向 受害 者 投递 包含 伪装 的 安全 插件 升级 钓鱼 邮件 实施 攻击 , 当 受 害 者 点 击 伪装 的 升级 的 
鱼 链 接 后 会 通过 ClickO 〇 Once 安装 方式 植 入 后 门 程序 。 完 整 的 攻击 流程 如 下 图 所 示 : 


随 clickOnce,exe 下 载 的 资源 


恶意 邮件 banner. M.jpg 
> 
点 击 邮 件 中 的 链接 下 载 执 行 解密 加 载 
Y Y 
bg E. 

— > ——— 2 

下 载 执行 安装 te: 

* appref-ms clickonce.exe 木马 


图 “点 杀 行 动 i = 要 攻击 流程 
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“钓鱼 邮件 分 析 


该 组 织 伪 装 成 某 邮箱 的 安全 团队 向 受害 者 发 送 邮 件 , 诱导 受害 者 升级 邮箱 安全 插件 。 受害 者 进入 伪装 
的 插件 网 页 点 击 安装 链接 , 会 下 载 安装 ClickOnce 程 序 的 部 署 文件 (*appref-ms , appref- 
ms 文件 设置 包含 了 恶意 的 ClickOnce 程 序 地 址 。 


££ | http://club.mail.sina.com.cn.plugin-verification.. v | & | 好 | x [| P Bing 


we east |b Rus w E) 网 页 快讯 库 


e mail.sina.com FILE SERVER 


Launching Application =. "e © | 


一 aa 


p S 


Verifying application requirements. This may taki 
moments. 


(Please install DownloadManager Plugin) 


恶意 的 ClickOnce 程 序 安装 完 毕 后 , 会 鞭 骗 用 户 安全 模块 更 新 完成 。 攻 击 者 分 别针 对 网 易 、 新 浪 和 
Outlook 三 类 邮箱 系统 定制 了 伪装 的 安全 模块 部 署 网 页 钓鱼 域名 和 qappref-ms 文 件 对 应 , 我 们 捕 
获 发 现 最 终 下 载 的 诱饵 附 件 文件 , 是 加 密 的 word 文 档 , 名 字 和 内 容 并 不 具有 吸引 力 , 所 以 攻击 者 钓 
鱼 攻击 的 重点 还 是 放 在 了 伪装 安全 模块 的 诱导 安装 部 分 。 


图 ”邮箱 钓鱼 页 五 
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03 东南 亚 


18316 (APT-C-00) 


海 莲 伦 (OceanLotus) 组 织 , 是 一 个 有 政府 背景 的 境外 黑客 组 织 , 攻击 目标 主要 是 东亚 国家 的 企 
业 和 政府 部 门 , 从 2011 年 中 国 就 遭受 到 了 海 莲花 组 织 的 网 络 攻 击 , 自 2015 年 360 曝 光 海 莲花 以 来 ， 
该 组 织 仍 未 停止 过 对 我 国 的 攻击 。 2020 年 海 茵 花 是 针对 我 国 攻击 中 最 活跃 的 组 织 , 主要 涉及 到 我 国 
政府 、|T 和 教育 行业 。 今 年 该 组 织 攻击 技 战 术 有 明显 提升 , 尤其 基于 供应 链 攻 击 成 为 今年 主要 的 攻击 
手法 之 一 , 从 3 月 开始 针对 我 国 多 个 大 型 | 供应 商 发 起 定向 攻击 , 相关 供应 商 的 客户 主要 涉及 国内 教 
、 通 信和 政府 行业 等 。 


"图 片 探 针 


今年 2 月 海 莲花 在 针对 我 国医 疗 机 构 的 攻击 活动 中 , 初始 攻击 针对 相关 目标 的 大 量 邮 箱 发 送 了 含有 医 
片 探 针 的 探测 邮件 , 用 以 探测 攻击 目标 的 邮箱 是 否 真实 存在 。 用 户 打 开 邮 箱 后 在 显示 一 张 LX1 像 素 不 
可 见 的 图 片 后 , 会 发 送 HTTP 请 求 至 海 莲花 的 服务 器 , 攻击 者 在 服务 端 根据 请 求 参数 里 的 邮件 地 址 ， 
判断 邮件 是 否 被 打开 , 以 确定 邮箱 是 否 处 于 活跃 使 用 状态 。 


Fw:23 A AO 


EF 2020 年 2A — BEN 
STRESS. 为 了 保护 交情 安 全， 内容 二 的 更 


网 
m 


?«img src-Thttps://libjs.inquirerjs.com/ 


E 3 户 再 打开 压缩 包 点 
击 白文 件 exe 后 , 会 加 载 同 目录 下 的 恶意 文件 。 该 攻击 手法 是 海 莲花 组 织 惯用 的 白 利 用 手法 , 白文 件 是 
某国 产 办 公 软 件 的 主 程序 wpPs,exe, 白文 件 wps,exe 启 动 后 会 加 载 同 目录 下 的 krpt,dll 文 件 执行 。 


在 探测 确定 邮箱 活跃 后 , 海 莲 伦 再 通过 白文 件 压 缩 包 形 式 投 递 诱 乌 文档 攻击 用 户 


~- 


人 


WB Al 钓鱼 探测 邮件 | 图 2 图 片 探 针 
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"横向 移动 


海 莲 伦 在 攻 入 企业 内 部 后 会 进行 较 复 杂 的 横向 移动 攻击 , 根据 360 安 全 大 脑 观测 到 的 数据 我 们 将 海 
莲花 的 2020 年 核心 的 横向 移动 攻击 技 战 术 进行 了 梳理 , 主要 攻击 如 下 : 


今 远程 建立 服务 : 海 莲 花 通 过 攻陷 机 器 与 被 攻击 机 器 Windows 管 理 共享 建立 连接 ,拷贝 文件 到 受害 
者 机 器 , 通过 RPC 调 用 远程 建立 服务 来 执行 CMD 命 令 ，; 


今 远程 调用 WMI1 服 务 : 海 芝 人 花 通 过 攻陷 机 器 调用 被 攻击 机 器 的 WMI 服 务 , 通过 WMI 服 务 间接 执行 


z> 
9 


了 


今 控 制 内 网 安全 软件 服务 端 下 发 指令 : 海 莲 花 在 多 次 攻击 活动 中 , 疑似 控制 了 内 网 安全 软件 的 管理 后 
台 , 通过 对 内 网 安装 有 安全 软件 的 终端 直接 下 发 指令 , 执行 命令 安装 后 门 程序 。 


攻陷 机 器 


入 侵 内 网 安全 软件 
管理 后 台 


利用 管理 员 身份 凭证 
SMB/RPC 


SMB/RPC 


拷贝 
TEAR 
远程 建立 系统 服务 远程 调用 WMI 服 务 控制 内 网 安全 软件 服务 端 
下 发 指令 
Powershell 荷载 
m! 被 攻击 机 器 per p 


白 利用 DLL 荷载 


W 海 莲 花 横向 移动 攻击 流程 
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" 白 利 用 


最 为 频繁 的 是 安博 士 程 序 。 


安博 士 程序 V3MEDIC.EX 


趋势 程序 PtLauncher.exe 


罗技 蓝牙 程序 |btwiz,exe 


steam 错 误 报告 程序 steamerrorreporter.ex 


微软 ,NET 启动 程序 applaunch.exe 


谷歌 工具 条 GoogleToolbarNotifier.exe 


任务 管理 器 Task Explorer.exe 


调试 查看 工具 dogview.ex 
赛 门 铁 克 反 病毒 程序 ldqvpreg,exe 
瑞星 程序 sharemgr.exe 


WPS 程序 wps.exe 


腾讯 电脑 管家 Qmbsrv.exe 


腾讯 浏览 服务 组 件 Gbclient.exe 


网 易 云 音乐 cloudmusic.exe 
趋势 程序 PtUserSessionWrapperexe 


爱 奇 艺 升级 模块 QyUpdate.exe 


迅捷 PDF 编辑 器 XunjiePDFEditorexe 


360 图 片 查看 器 360kantu.exe 


- 


江 民 程序 KvHistory 


酷 狗 音乐 KuGou.exe 


DLL 旁 路 加 载 技 术 是 海 莲 伦 打造 恶意 荷载 的 核心 攻击 技术 。 下 


图 被 利用 的 白文 件 统计 TOP20, 利用 


B 海 连 花 白 利 用 TOP20 
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04, 其 他 


针对 我 国 攻击 活跃 的 APT 组 织 , 还 有 来 自 东 欧 地 区 的 APT28 (APT-C-20) . Beit (APT-C-42) 。 
中 东 地 区 的 蓝 色魔 眼 (APT-C-41) 组 织 。 其 中 以 魔 鼠 和 蓝 色 魔 眼 相关 攻击 活动 最 为 频繁 。 


1.APT28 (APT-C-20) 


2020 年 APT28 组 织 针对 我 国 的 攻击 活动 中 , 以 外 交 \ 政府 相关 重要 机 构 为 主要 目标 。 利 用 多 个 语 
言 , 例如 him, delphi, go 等 版 本 的 zebrocy downloader 进 行 初始 攻击 , 同时 也 在 积极 的 利 
用 不 同 的 手法 规避 安全 研究 员 的 视线 , 在 疑似 针对 北约 组 织 目 标的 攻击 活动 中 , 依然 使 用 压缩 包 附 
件 形式 的 诱饵 , 但 此 次 攻击 使 用 了 ARJ 格 式 的 小 众 压 缩 包 格式 , 压缩 包 中 包含 一 个 nim zebrocy 
qdownlooder 和 诱饵 文档 。 压 缩 包 的 打包 时 间 是 2020 年 08 月 5 号 。 同 时 在 2020 年 的 7 月 到 8 月 我 
们 捕获 到 了 APT28 的 多 个 nim zebrocy downloader MithkA. 


Ell Documentation AVT-355.arj - ARJ 压缩 文件 , 解 包 大 小 为 482,744 F5 
" 大 小 类 型 修改 时 间 CRC32 
文件 夫 
478,208 ”应 用 程序 2020/8/5 23:13 C0605341 
letter.docx 4,536 Microsoft Word... 2020/8/5 23:13 3D8D9D5F 
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MAIN PAGE 3» NEWS 


DIRECTIVE FOR MOVEMENT OF ALLIED MILITARY CONID-17 FLOWCHART 


09 MARCH 2020 


PERSONNEL PIDEMIOLOGICAL 


Directive the Chief of the Sanitary Inspection of the QUESTIONNAIRE 


Polish Armed Forces for movement of allied military 
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到 1 APT28 组 织 所 使 用 的 ARJ 格 式 小 众 压缩 包 E 图 2 APT28 组 织 诱饵 文件 涉及 军事 公告 (新 冠 疫情 下 波兰 边境 军队 活动 的 指示 ) 
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2, 蓝 色魔 眼 (APT-C-41) 


蓝 色魔 眼 (APT-C-41) , 又 被 称 为 Promethium、StrongpPity, 该 APT 组 织 最 早 的 攻击 活动 可 以 
追溯 到 2012 年 。 该 组 织 主 要 针对 意大利 、 土 耳 其 、 欧 洲 等 地 区 和 国家 进行 攻击 活动 。360 安 全 大 脑 
监测 到 该 组 织 在 2020 年 1 月 首次 针对 中 国 进 行 了 攻击 活动 , 并 捕获 到 了 该 组 织 最 新 V4 版 本 的 攻击 组 
件 。 经 过 360 高 级 威胁 研究 院 的 深入 分 析 研 判 , 此 次 攻击 的 针对 性 极 强 , 是 该 组 织 罕见 地 针对 我 国 相 
关 重 要 机 构 发 起 的 首 起 定向 攻击 行动 。 


pos 


从 历史 攻击 活动 看 , 监 色 魔 眼 组 织 的 攻击 战备 资源 充足 , 具备 0day 漏 洞 作战 能 力 , 拥有 一 套 复杂 的 
模块 化 攻击 武器 库 , 并 长 期 持续 迭代 更 新 。 该 组 织 的 基础 网 络 资源 丰富 , 足以 在 每 次 攻击 活动 中 有 多 
套 备用 资源 以 便 迅速 更 新 持续 对 抗 。 早期 该 组 织 曾 使 用 过 0day 漏 洞 发 起 攻击 活动 。 而 后 被 披露 针对 
目标 用 户 进行 水 坑 攻 击 , 伪装 成 用 户 常用 合法 软件 或 仿冒 相关 应 用 官方 网 站 , 从 早期 伪装 WinRAR、 
TrueCrypt, Opera 浏览 器 等 软件 , 扩展 到 伪装 TeamViewer WhatsApp 等 应 用 软件 。 同 时 
该 组 织 还 曾 被 发 现 一 些 |SP 级 别 的 网 络 支持 攻击 活动 迹象 。 该 组 织 的 攻击 组 件 从 2016 年 至 今 在 不 断 
进行 升级 改进 , 基于 360 安 全 大 脑壳 测 数据 来 看 , 该 组 织 的 攻击 组 件 至 少 已 经 有 4 次 较 大 的 更 新 迭 
代 , 今年 活跃 的 主要 是 V3 和 V4 两 个 版 本 。 


=F ma _ Ey 读 取 _ g = 


Skype update service wtsapi32.dll(MiniLoader) 注册 表 


| 解密 加 载 


= 2 读 取 


Loader 
| 解密 加 载 


' i ' ' 
Ey & & & 


Cornti.dll Kitgtr.dll Ingwyztn.dll scpctr.dll whtnwfc.dll 


E 蓝 色 魔 眼 攻 击 流程 
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3. is (APT-C-42) 


2019 年 , 360 高 级 威胁 研究 院 捕获 发 现 了 一 系列 WellMess(APT-C-42) 组 织 针 对 我 国政 府 、 
TSITITA, 教育 科研 行业 的 APT 攻 击 行动 , 并 针对 核心 基础 设施 的 供应 链 目 标 进行 了 渗透 。 医 
Golang 语 言 的 吉祥 物 为 地 鼠 , 与 此 同时 “Mess 谐音 “Mice ，360 安 全 大 脑 将 这 例 新 APT 
组 织 命名 为 “ 魔 鼠 ”。 今年 7 月 我 们 对 该 组 织 的 攻击 行动 进行 对 外 披露 ”。 魔 鼠 组 织 的 攻击 活动 最 早 
开始 于 201 7 年 12 月 , 持续 活跃 至今 。 该 组 织 不 仅 在 中 国 进行 攻击 活动 , 还 有 日 本 等 国家 也 成 为 其 
KHAR”. 我们 捕获 到 的 攻击 活动 具备 以 下 特点 : 


"攻击 对 目标 的 针对 性 极 强 , 对 目标 进行 了 较 长 时 间 的 控制 
"攻击 进行 了 周密 的 筹划 , 针对 目标 发 起 了 供应 链 攻击 行动 


= 攻击 所 使 用 的 后 门 程序 具备 windows 和 (Linux 双 平台 攻击 能 


根据 该 组 织 攻 击 活动 的 轨迹 , 我 们 将 其 攻击 活动 划分 为 WellServ 和 WellVpn 两 次 攻击 行动 。 
" WellServ 行 动 主要 是 攻击 目标 的 服务 器 , 以 长 期 持续 控制 和 内 网 渗透 为 目的 。 


“WellVpn 行 动 主要 是 针对 网 络 基 础 服务 供应 商 技术 人 员 的 定向 攻击 , 以 恶意 VPN 服 务 社工 钓鱼 
作为 切入 点 进行 供应 链 攻击 。 
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WellVpn 行 动 主要 集中 2019 年 8 月 -9 月 期 间 , 以 某 网 络 基础 服务 提供 商 公司 为 目标 , 该 公司 的 产品 
是 各 机 构 广 泛 使 用 的 网 络 基础 服务 系统 。 进一步 其 核心 攻击 流程 是 利用 VPN 产 品 作 为 突破 口 。 


某 流行 VPN 产 品 的 客户 端 升级 程序 存在 安全 漏洞 , 攻击 者 通过 架设 恶意 的 VPN 服 务 器 , 通过 社会 工 
程 学 方式 诱 使 该 公司 产品 技术 人 员 登 陆 , 当 技 术 人 员 使 用 存在 漏洞 的 VPN 客户 端 连接 恶意 的 VPN 
服务 器 时 , 将 自动 下 载 恶 意 的 更 新 包 并 执行 。 攻击 者 下 发 的 恶意 程序 是 该 组 织 的 专属 下 载 者 程序 
WellMess_Downloader, 下 载 并 植 入 的 最 终 的 后 门 是 WellMess_Botlib。 整体 攻击 流程 如 下 


图 所 示 : 
' 攻击 者 的 跳板 机 ' 
! onere 
—_ -一 
攻击 者 搭建 的 VPN 服 务 器 APT 组 织 服务 器 i 
A A 
@ 连 接 伪 造 的 VPN 服 务 器 @ 利 用 漏洞 下 载 执行 @@ 下 载 执行 后 门 
标 
Y OFK FR Y 
@@ 搜 集 — 
2 Cg ~ E8 
黑客 XXXUD.exe XXXUDC.exe 密码 文件 
(恶意 文件 ) (恶意 文件 ) 
wellmess_downloader wellrness. botlib 
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全 球 威 胁 态 势 


新 冠 疫 情 全 球 化 影响 下 APT 威 胁 加 剧 

2020 年 这 场 全 球 公共 卫生 危机 , 给 全 球 带 来 生命 和 财产 损害 , 也 给 全 球 化 进程 、 社会 治 
理 、 经 济 形态 等 人 类 诸多 领域 带 来 深刻 影响 。 时 至 今日 疫情 的 影响 还 在 持续 且 未 来 1-2 
= 内 也 很 难 结束 , 近期 全 球 确诊 人 数 已 突破 9000 万 。 


Hr 


HH, 远程 


M 


新 冠 疫情 冲击 下 , 不 少 传统 行业 面临 洗 牌 , 但 新 的 工作 和 生活 方式 也 在 疫 


HUNE 
WellMess 


Gamaredon 
= 


Lazarus 


EET : 


ScarCruft 


360APTÉ RBA 


PART 03 | $mmss 


办 公 、 线 上 学 习 、 网 上 购物 等 
来 的 是 以 聚焦 远程 办 公 突破 
使 得 APT 威 胁 愈 演 愈 烈 。 


男 一 方面 疫情 全 球 化 从 多 维度 冲击 着 国际 关系 构建 和 国际 秩序 走向 , 安全 


, 也 凸显 数字 经 济 的 重要 性 。 但 这 方面 直接 带 


、 围 绕 新 冠 疫情 话题 攻击 、 禄 取 抗 疫情 报 等 


秩序 中 的 对 立 格 局 凸显 , 各 方 全 面 战略 竞争 加 剧 , 由 此 刺激 下 的 APT 攻 击 威 
胁 进 一 步 加 剧 , 如 南亚 、 东 亚 和 中 东 等 地 区 组 织 的 攻击 活动 较 去 年 显著 上 


Tb, 县 不断 浮 现 出 更 多 未 知 归 


全 球 史 上 最 严重 


属 的 新 攻击 威胁 。 


的 供应 链 攻 击 


美国 时 间 12 月 13 日 , SolarWinds 公 司 Orion 平 台 的 多 款 软件 被 曝 出 植 


入 了 后 门 程序 ”…, 该 公司 为 全 球 30 万 家 客户 提供 了 产品 服务 。360 第 一 时 间 
对 此 安全 事件 进行 了 预警 , 并 独家 发 布 了 此 事件 的 完整 揭秘 分 析 报 告 , 该 公 
司 疑 似 在 2019 年 就 被 黑客 组 织 入 侵 , 控制 了 该 公司 核心 软件 的 编译 发 布 流 


了 后 门 程序 。 


程 , 在 该 公司 软件 的 官方 安装 包 和 在 线 升 级 程序 包 中 的 核心 服务 组 件 植 入 


根据 360 安 全 大 脑 的 全 网 安 


数据 分 析 , 我 们 发 现 了 SolarWinds 供 应 链 


攻击 事件 中 数 百 家 组 织 机 构 的 失陷 信息 , 这 些 组 织 机 构 共 涉及 31 个 国家 ， 
其 中 美国 失陷 的 组 织 机 构 最 多 。 此外, 涉及 18 个 行业 , 其 中 政府 组 织 机 构 


失陷 情况 最 为 严重 , 其 次 是 金融 和 | 行业 , 同时 有 少量 网 络 安全 公司 。 可 以 
说 , 这 是 一 场 史上 最 严重 的 供应 链 攻击 , 致使 全 球 数 百 家 重要 核心 组 织 机 


构 陷 落 , 给 安全 业界 敲 响 了 长 鸣 的 警钟 。 
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O1 俄语 系 攻击 组 织 


俄语 系 攻 击 组 织 众 多 , APT28、Gamredon、Turla、APT29 等 尤为 活跃 , 相关 组 织 主 要 针对 欧洲 、 
美洲 等 各 国政 府 、 军 事 机 构 。 另 外 我 们 首次 披露 了 某 东 欧 组 织 针对 乌克兰 的 最 新 定向 攻击 活动 。 


Gamaredon 组 织 针 对 乌克兰 的 相关 机 构 的 网 络 攻击 活动 已 经 趋 于 常态 化 , 并 且 该 组 织 也 在 积极 寻求 
横向 移动 和 持久 化 技术 。 该 组 织 也 在 积极 的 开发 新 的 恶意 软件 对 抗 分 析 以 及 达到 新 的 目的 。 在 2020 
年 我 们 捕获 的 针对 乌克兰 攻击 活动 中 , 我 们 发 现 了 该 组 织 配 合 invisiMole 组 织 的 攻击 组 件 进行 攻击 ， 
tcp downloader 是 InvisiMole 组 织 研发 的 专属 下 载 器 , 在 2020 年 6 月 18 号 被 ESET 厂 商 首 次 披 
BY, 而 在 此 次 Gamaredon 部 署 的 荷载 正 是 |nvisiMole 组 织 的 专属 工具 , 这 也 是 Gamoredon 
小 组 与 InvisiMole 小 组 联合 行动 的 关键 证 据 。 这 在 以 往 的 APT 攻 击 活动 中 并 不 常见 。 


CT 


le -EF B 
C2 bat script tcp downloader 


download l (invisimole) 


Gxdote descript& 


' 
i= execute Ed drop FH archive | 
- oO md Fe EE download 
y x -E By 


| 
' execute in memory 


Rundll32.exe backdoor 7z sfx 
winapiexec payload C2 


(invisimole) 


某 东 欧 APT 组 织 , 2019 年 初 , 国外 安全 厂商 披露 了 一 起 某 东 欧 的 APT 组 织 针对 乌克兰 政府 的 定向 攻 
din), 报告 称 该 组 织 的 攻击 活动 至 少 可 以 追溯 到 2014 年 。 10 月 , 360 安 全 大 脑 监 测 到 该 组 织 针 
对 乌克兰 军事 目标 的 最 新 攻击 活动 , 该 组 织 持续 更 新 迭代 网 络 武器 , 重点 使 用 脚本 类 的 无 文件 攻击 方 
式 , 提高 了 安全 厂商 的 发 现 和 分 析 难 度 。 同 时 该 组 织 疑 似 通 过 云 盘 备份 的 方式 窃取 机 密 文 件 , 此 类 攻 
击 方式 也 加 大 了 网 络 异常 流量 识别 的 难度 。 


该 组 织 向 目标 投递 了 大 量 包含 恶意 CHIM 文 件 的 ZIP 压 缩 包 , 诱饵 文件 名 称 都 使 用 了 乌克兰 语 。 在 目标 
打开 chmn 恶 意 文件 后 , 恶意 程序 会 通过 powershell 和 vbs 亚 意 脚本 文件 进行 大 量 的 文件 穷 取 操作 
和 植 入 木马 行为 。 


E Gamaqredon 与 InvisiMole 组 织 专 属 工具 关联 性 
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02 印 欧 语系 攻击 组 织 


印 欧 语 系 组 织 今年 攻击 非常 活跃 , 除 针 对 中 国 地 区 攻击 以 外 , 相关 APT 攻 击 活动 主要 集中 在 巴 基 斯 
坦 、 尼 泊 尔 和 印度 等 国家 。 印 度 与 邻 国 巴基斯坦 的 关系 急转直下 , 自 1947 年 印 巴 分 治 , 双方 建国 以 
来 , 双方 对 于 克什米尔 地 区 的 主权 纷争 问题 便 未 能 得 到 解决 。 之 后 印 巴 之 间 发 生 过 3 次 战争 , 而 在 克 
什 米尔 地 区 更 是 摩擦 不 断 。 在 今年 6 月 份 双方 分 别 驱 逐 对 方 外 交 官 后 , 国际 观察 人 士 一 致 认为 , 印 巴 
关系 恶化 程度 甚至 达到 十 多 年 来 的 最 低 点 。 


攻击 活动 攻击 时 间 
UM NENEDNEDEECHEECHECHECEKCEECNETCIETIEES 


军工 等 机 构 进行 攻击 
BRE: 攻陷 多 个 巴基斯坦 网 站 , 将 6 有 BF 
- 透明 部 落 : 持续 对 印度 政府 、 国防 军 


作为 样本 下 发 的 载体 
工 等 机 构 进 行 攻击 


Seem EENECNEDEECHEEDEECEETE 7010103 


应 用 攻击 印度 军事 人 员 移 动 设备 


LIN | 


器 "gnf,gov,pk", 并 进行 水 坑 攻 击 


| 


攻击 巴基斯坦 政府 、 医 疗 人 员 
坦 国防 军工 、 政 府 等 部 门 进行 攻击 

题材 攻击 巴 基 

ARS: “atm eR TT TE) 
等 诱饵 文档 攻击 巴基斯坦 
eaalalsalealalial = 上 引 


议 ”、NDS 课 程 等 题材 攻击 巴基斯坦 


CCU » — EDRETREDEETEECEKCERZEEZEECEETIETCHEZS 


及 尼泊尔 印度 等 内 容 


m 
| 


E 2020 年 印 欧 语系 相关 APT 组 织 主 要 攻击 活动 
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ALAR. SRE, 响尾蛇 、 透 明 部 落 几 乎 全 年 都 有 攻击 活动 , 摩 订 草 更 多 在 上 半年 持续 攻击 。 印 欧 语系 
组 织 几乎 都 会 涉及 针对 移动 平台 的 定向 攻击 , 肚 脑 虫 、 响尾蛇 都 涉及 较 多 。 今 年 年 初 趋势 科技 披露 ”， 
在 Coogle Play 商店 中 发 现 了 响尾蛇 组 织 使 用 的 3 个 恶意 应 用 程序 , 它们 可 以 协同 工作 以 破坏 受害 
者 的 设备 并 收集 用 户 信息 。 其 中 一 个 名 为 Camero 的 应 用 利用 了 CVE-2019-2215, 该 漏洞 存在 于 
Bindert, 这 是 在 野外 首次 利用 所 述 UAF 漏 洞 的 实例 。 


功能 组 件 


远程 模板 文件 解密 数据 , 删除 OM, EFEN 
删除 自身 
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Ee 


功能 组 件 


加 密 文件 ogg.bin 
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-B i -B 
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远程 加 载 wE E 解密 并 释放 下 载 下 载 
"Ey Ey ea n 


CVE 2017-11882 droper downloader downloader 
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功能 组 件 


肚 脑 虫 组 织 (APT-C-35) ,又 称 Donot, 是 一 个 针对 克什米尔 地 区 相关 国家 的 政府 机 构 等 领域 进行 
网 络 间谍 活动 , 以 窃取 敏感 信息 为 主 的 攻击 组 织 , 相关 攻击 活动 最 早 可 追溯 到 2016 年 。 今 年 该 组 织 
针对 中 国 地 区 的 攻击 比较 少见 , 主要 持续 活跃 针对 巴基斯坦 相关 政府 、 国 防 军工 机 构 的 攻击 。 


由 于 肚 脑 虫 攻击 流程 较 长 , fie FH downloader, 且 在 完成 一 个 步骤 之 后 会 删除 上 一 个 步骤 , 极 
大 提高 其 样本 的 隐蔽 性 , 干扰 安全 分 析 员 对 其 进行 分 析 。 相 比 其 他 印 欧 语系 组 织 , 该 组 织 的 后 门 程序 
在 设备 上 驻 留 时 间 最 长 。 


E 肚 脑 虫 主要 攻击 流程 
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“The armed forces are in action from the day one for implementing the del | 
made by the National Security Comenitiee and directives issued by Prime N V 


Imran Khan,” he said while briefing media sbout the actions dispensed to |? 
coronavirus in the country 


reach out to the civi administration at district and tehsil levels in their res; 
domains to contro! the crisis. "The armed forces are utilizing all 
cooperate with the local administration to counter the pandemic,” he said. Ou} 


General Qamar Javed Bajwa has instructed all the formations of Pakistan j 


Pak Army Deployed in Country in Fight 
Against Coronavirus 


Pakistan armed forces have been taken positions across the ny assebrug 
federal and provincial administrations in order to ensure 
control of COVID- 19. 


Saudi Arabia has ended a loan and oil supply to Pakistan due to the South Asian nation's criticism that 
the Saudi-led Organisation of Islamic Cooperation (OIC) is not doing enough to pressure india on the 
Kashmir issue, marking a new milestone in the deteriorating relations between the two alles. 


Palin was last week forced to repay a Saudi loan of $1 billion that the kingdom called in after 


Why Saudi ends loan and oil supply to Pakistan. 


m em ei 


Y 


Flanked by Special Assistant lo Prime Minister on Health Dr Zatar Mirza and | | 
on Information and Broadcasting Dr Firdous Ashiq Awan, he said Chief of An 


egion largely under indian 


透明 部 落 组 织 


移动 设 


FH 


网 


是 南亚 APT 组 织 , 主要 针对 印度 的 军事 与 外 交 活 动 , 在 
目标 开始 扩散 到 阿富汗 等 其 他 地 区 。 透 
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明 部 落 组 
上 进行 监视 。 该 变 体 主 要 在 印度 传 


用 程序 


件 , 该 组 件 可 


用 于 入 侵 印 度 
组 织 针对 全 球 多 


SE 


从 移动 存储 设 


FH 


fdu 


中 受 影 响 最 大 的 是 阿 


FH TE 


IS 


ESE SCT Hw RA 
国 、 印 度 、 伊朗 和 巴基斯坦 等 


A 
织 今 


年 年 初 使 
, 伪装 成 与 色情 
军事 人 员 的 手机 。 该 组 织 主要 使 用 Crim 
家 政府 和 军队 的 最 新 攻击 活动 35, 其 中 C 


日 天 设 


E2020 年 广泛 活跃 , 并 
用 开源 的 Ah 
相关 的 应 


且 其 攻击 
yth RAT 变 体 , 用 于 在 
程序 和 COVID-19 跟 踪 应 
son RAT, 今年 8 月 卡巴 斯 基 披露 了 该 
中 升级 了 新 的 USB 蠕 虫 攻 击 组 
。 相关 攻击 涉及 27 个 


rimson 


进行 传 


FH 


国家 , 其 


国 


家 


网 


1 Bi 


FE e f 


情 相 关 题 材 的 样本 攻击 


斯 坦 


R] 


3m 


FESEAPT 


使 用 阿富汗 的 
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03 朝鲜 半岛 


Lazarus 组 织 (APT-C-26) 是 朝鲜 半岛 非常 活跃 的 APT 组 织 之 一 , 长 期 
以 数字 货币 、 金 融 行业 为 攻击 目标 , 通过 网 络 攻击 进行 敛财 LAZARUS 
的 多 平台 恶意 框架 MATA 已 对 全 球 过 个 国家 进行 攻击 , 并 获取 目标 用 户 
的 数据 库 信息 , 今年 针对 国内 的 “暴风 行动 ”中 发 现 该 框架 还 被 利用 在 攻 
击 数 字 货 币 行业 的 攻击 行动 中 。 全 球 疫情 爆发 以 来 , |Qzarus 集 团 还 实施 
DreomJob 行 动 ”, 通过 社工 攻击 针对 以 色 列 及 其 他 国家 的 国防 、 政 府 
组 织 、 企 业 的 特定 员工 进行 攻击 , 成 功 感染 目标 后 收集 相关 财务 状况 的 情 
报 , 可 能 是 为 了 从 中 窃取 钱财 , 这 点 非常 符合 Lazorus 组 织 的 一 贯 作风 。 


Scarcruft 组 织 (APT-C-28) , 又 名 KONNI、 Hermit, Group123、 
APT37。 善于 使 用 热点 事件 攻击 , 从 2020 年 的 攻击 可 以 看 出 , 主要 以 带 有 
恶意 宏 的 文档 、HVWVP 文 档 攻击 。 宏 利用 样本 主要 以 核 问题 、 网 络 安全 、 uH 
韩 关 系 、 政 治 时事 、 新 冠 疫情 等 话题 为 诱饵, 文档 中 的 宏 代 码 出 现 了 反复 
利用 , 同时 还 具有 Android 平 台 的 攻击 能 力 , RAAB ER. 


z 


Kimsuky 组 织 一 直 以 来 非常 活跃 , 根据 2020 年 的 活动 来 看 , 攻击 目标 依 
旧 聚 集 在 韩国 , 今年 疫情 以 来 , 多 次 利用 新 冠 疫情 、 美 国 大 选 等 国际 热点 
话题 等 诱饵 进行 鱼 又 式 钓鱼 攻击 。 近 年 也 有 相关 研究 证 明 KirnSuky 和 
Scarcruft 的 攻击 存在 关联 , 他 们 在 代码 和 网 络 资产 上 存在 共享 。 


| | | 
| | 
2H 3H 4H 5H 6A 7H 8H 9H 10H 11 


E Lazarus W Kimsuky & Scarcruft 
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Description 
2020. 


BAE Systems plc” 


BAE SYSTEMS 


网 
a 


person with suspected COVID-19 infection.- 


e 


Best Type: N95 particulate respirators. without respiration valve 


Specification: 

WHO standard 

N95 or FFP2 respirator, or higher 
with or without valve. 


Good breathability with design that does not collapse against the mouth (e.g. duckbill, cup-shaped) 
Minimum "N95" respirator according to FDA Class Il, under 21 CFR 878.4040, and CDC NIOSH, or 
Mnimum "FFP2" according to EN 149, EU PPE Regulation 2016/425 Category Ill, or equivalent. 


Recognized international Standards. 
EU: EN 149, FPP2 
US: NISOH, N95 for Tb 


网 
Nh 


E 
网 


1 Lazqrus 组 织 MATA 攻 
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相关 诱饵 文档 E 图 2Scarcruft 组 织 以 疫情 相关 诱饵 文档 
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04 中 东 地 区 


中 东 地 区 的 APT 攻 击 十 分 活跃 , 双 尾 蝎 、Oilrig、Fox Kitten 等 组 织 都 进行 了 多 次 攻击 , 针对 目标 多 
以 政府 、 军 事 和 能 产 相 关 。 特别 是 APT34, 即使 去 年 三 月 份 被 泄漏 了 攻击 武器 库 与 攻击 人 员 资 料 , 仍 
然 没 有 停止 行动 , Fox Kitten 更 是 活动 频频 , 从 2019 年 至 2020 年 通过 多 个 VPN 和 网 络 设备 的 漏洞 
入 侵 企 业 网 络 。 另外 Crowdstrike 安 全 厂商 披 圳 ,至少 从 2020 年 7 月 开始 , Fox Kitten 被 发 现在 
黑客 论坛 上 出 售 其 入 侵 企业 的 访问 权限 。 


双 尾 蝎 组 织 (APT-C-23) , 是 一 个 针对 中 东 地 区 相关 国家 的 教育 、 军 事 等 重要 领域 进行 网 络 间谍 活动 ， 
以 窃取 敏感 信息 为 主 的 网 络 攻 击 组 织 。 攻 击 平台 主要 包括 Windows 与 Android. 该 组 织 的 攻击 活 
动 最 早 可 追溯 到 2016 年 , 近年 来 该 组 织 活 动 频 繁 不 断 被 数 个 国内 外 安全 团队 持续 追踪 和 披露 。 


E 


Br 


Mygram IM 


Welcome to 


Landingo, a Modern 
& Clean Template 


2020 年 2 月 16 日 , 以 色 列 国防 军 IDF 网 站 称 ”, 他 们 发 现 哈 马 斯 的 一 系列 网 络 攻击 行动 , 通过 制作 了 
多 个 聊天 工具 相关 的 钓鱼 网 站 , 利用 社交 媒体 伪装 成 美女 诱骗 以 色 列 国防 军士 兵 下 载 安 装 伪装 成 聊 
天 工具 的 间谍 软件 , 从 而 窃取 以 色 列 国防 军 的 隐私 信息 , 并 最 终 认 为 与 APT-C-23 组 织 有 关 。5 月 ， 
360 烽 火 实验 室 发现 了 与 以 色 列国 防 军 曝光 的 双 尾 蝎 组 织 攻击 行动 相关 的 另 一 起 网 络 攻击 活动 ”, 该 
活动 中 使 用 的 间谍 软件 伪装 成 MygrammlM 应 用 , 并 利用 钓鱼 网 站 进行 传播 , 根据 网 站 信息 , 此 次 攻 
击 活动 仍然 针对 中 东 地 区 。 


E 仿冒 MygramlM 应 用 钓鱼 网 站 
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传播 分 发 方式 还 是 以 应 用 市 场 为 常规 渠道 , 如 PhantomLance 组 织 使 用 的 主要 传播 媒介 是 通过 
应 用 程序 市 场 进行 分 发 ”, 为 了 能 绕 过 Google Play 的 上 架 审 查 , 其 通常 采用 上 架 的 初始 版 本 不 
包含 任何 恶意 代码 , 但 在 后 续 更 新 中 再 加 入 恶意 代码 。 由 于 这 种 方式 会 增加 随机 感染 的 受害 者 , 所 
以 在 双 尾 蝎 后 续 新 攻击 中 , 不 仅 伪 造 了 一 个 假 的 Androigd 应 用 商店 用 于 分 发 恶意 软件 , 该 应 用 商店 
中 包含 恶意 应 用 以 及 正常 合法 的 应 用 , 但 下 载 这 些 恶 意 应 用 时 需要 输入 6 位 验证 码 , 由 此 用 以 降低 
恶意 软件 的 流行 度 , 并 更 针对 特定 用 户 。 


Domestic Kitten 组 织 (APT-C-50) 最 早 被 国外 安全 厂商 披露 , 自 2016 年 以 来 一 直 在 进行 广泛 而 
有 针对 性 的 攻击 , 攻击 目标 包括 中 东 某 国内 部 持 不 同 政见 者 和 反对 派 力 量 , 以 及 |SIS 的 拥护 者 和 主 
要 定居 在 中 东 某 国 西部 的 库尔德 少数 民族 。 


2020 年 9 月 27 日 , 亚美尼亚 与 阿塞拜疆 之 间 存 在 领土 争端 多 年 , 最 近 再 次 爆发 了 近年 最 严重 的 冲 
突 。 由 于 中 东 某 国 与 冲突 两 国 的 共同 边界 , 中 东 某 国 的 角色 和 当局 的 决定 对 此 次 冲突 来 说 非常 敏 
感 。 或 许 为 了 防止 可 能 对 中 东 某 国政 权 稳 定 构成 威胁 , 我 们 观察 到 Domestic Kitten 组 织 再 次 发 
起 了 攻击 行动 。 


H 


Domestic Kitten 组 织 此 次 攻击 活动 ”中 使 用 了 移动 端 攻击 武器 , 伪装 成 居 鲁 士 大 帝 和 Mohsen 
RestauranttBX APP, 从 代码 结构 和 功能 上 与 商业 监控 软件 KidLogger 高 度 相似 。 我 们 在 此 次 
攻击 活动 中 发 现 了 一 名 活动 在 中 东 某 国 的 疑似 受害 者 , 其 可 能 参与 了 反 政府 相关 活动 。 


VO PBA bole ul 


EM 


MAL 恶意 APP 运 行 界 面 M 图 2 德黑兰 -Af53- 军 事 集中 
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05 其 他 


= UNC2452 (APT-C-54) 


美国 时 间 12 月 13 日 , SolarWinds 公 司 Orion 平 台 的 多 款 软件 被 曝 出 植 入 了 后 门 程序 , 该 公司 为 全 
球 30 万 家 客户 提供 了 产品 服务 。360 第 一 时 间 对 此 安全 事件 进行 了 预警 , 将 此 次 攻击 行动 命名 为 “ 落 


ETa” , 并 独家 发 布 了 此 事件 的 完整 揭秘 分 析 报 告 。 该 公司 疑似 在 2019 年 就 被 黑客 组 织 入 侵 , 控制 
了 该 公司 核心 软件 的 编译 发 布 流 程 , 在 该 公司 软件 的 官方 安装 包 和 在 线 升 级 程序 包 中 的 核心 服务 组 件 
植 入 了 后 门 程序 。 


R 据 360 安 全 大 脑 的 全 网 安全 数据 分 析 , 我 们 发 现 了 SolarWinds 供 应 链 攻 击 事件 中 数 百 家 组 织 机 
构 的 失陷 信息 , 这 些 组 织 机 构 共 涉及 31 个 国家 , 其 中 美国 失陷 的 组 织 机 构 最 多 。 此 外 , 涉及 18 个 行 
Ay, 其 中 政府 组 织 机 构 失陷 情况 最 为 严重 , 其 次 是 金融 和 |1 行 业 , 同时 有 少量 网 络 安全 公司 。 可 以 说 ， 

是 一 场 史 上 最 严重 的 供应 链 攻 击 , 致使 全 球 数 百 家 重要 核心 组 织 机 构 陷 落 , 给 安全 业界 敲 响 了 长 鸣 


攻击 过 程 


攻击 者 在 SolarWinds Orion 平 台 软件 2019.4 - 2020,2,1 版 本 的 核心 服务 组 件 (Solar Winds. 

Orion.Core.BusinessLayer.dll) 中 植 入 了 恶意 后 门 , 该 组 件 存在 于 SolarWinds 的 核心 服务 
(SolarWinds Orion Core Services) 安装 包 和 升级 包 内 , 该 服务 安装 包 又 会 打包 进入 所 有 

Orion 平 台 的 离线 软件 安装 包 中 , 安装 SolarWinds Orion 平 台 的 任意 软件 都 会 默认 安装 此 服务 


jS) CORE-2020.2.5320.27438-Corelnstaller.msi 2020/6/4 19:28 


B Sola 
SolarWinds Orion Core Services 2020.2 


Setup Wizard ended prematurely 


Orion 


Solar Winds Orion Core Services 2020.2 Setup Wizard ended 
prematurely because of an error. Your system has not been 
modified. To install this program at a later time, run Setup 
Wizard again. Click the Finish button to exit the Setup 
Wizard. 


Back Finish Cancel 


E SolarWinds Orion zc fry 
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我 们 在 官方 发 布 的 2019,4 - 2020,2,1 版 本 离线 安 
件 , 被 污染 的 后 门 DLL 组 件 也 都 拥有 合 


安装 


法 的 数字 证 书签 名 。 


包 、 离 线 安装 镜像 和 升级 包 中 均 发 现 了 后 门 组 
此 可 以 推断 攻击 者 已 经 控制 了 该 软件 的 


>H 


经 受到 了 


ANS 


IIK 
开发 打包 编译 环节 , 软件 在 源 代 码 层面 就 已 
道 安装 和 升级 的 SolarWinds Orion 平 台 软 件 都 会 
下 图 所 示 : 


[4 

2 9 

安 

Xx Solarwinds-Ori 

外 ominelnstaler. 
exe 


Iu» 


BW TERA 


© 攻击 时 间 


根据 360 安 全 大 脑 的 安全 大 数据 , 我 们 跟踪 标注 了 


TUUS IH TESCAE EI 


污染 , 也 就 是 说 所 有 SolaqrVWinds 用 户 从 任何 汇 
被 无 差别 的 植 入 后 门 程序 。 其 完整 攻击 流程 如 


Fe JASE 


: SolarWinds.Ori 


€ on.Core.Busine 

4-SolarWinds- ssLayer.dll 
Core- 

v2019.4.5220- 


Hotfix5.msp 


SolarWinds 后 门 组 件 (Solar Winds.Orion. 


Core.BusinessLayer.dll) 的 活跃 时 间 , 还 原 ] 
所 示 。 根据 该 组 件 的 样本 数据 统计 “落座 行动 ”的 
早 于 此 时 间 。 


2019 年 10 月 10 日 
后 门 测试 组 件 


Sa 


Ea 


“落座 行动 ”的 完整 攻击 时 间 轴 , 完整 时 间 线 如 
攻击 时 间 最 早 可 以 追溯 到 2019 年 10 月 , 甚至 可 能 


2020 年 2 月 11 日 
完整 后 门 组 件 


2020 年 5 月 12 日 
完整 后 门 组 件 


月 
2020 年 12 月 9 日 


1 日 


2020 年 1 
2019 年 1 月 1 日 
2019 年 5 月 18 日 TI 2020 年 8 月 11 日 
原 厂 组 件 | 原 厂 组 件 原 厂 组 件 
2019 年 12 月 10 日 
原 厂 组 件 
图 2 
B 图 1 针对 SolarWinds Orion 攻 击 流程 B 图 2 攻击 活跃 时 间 
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2019 年 , 攻击 者 初次 在 原 厂 组 件 中 加 入 了 名 字 为 OrionlImprovementBusinessLayer 的 后 
门类 , 其 它 正常 原 厂 组 件 均 无 此 后 门类 。 值得 注意 的 是 , 此 后 门类 中 初次 置 入 的 是 一 个 环境 变量 


判断 的 函数 , 我 们 推测 攻击 者 是 在 进行 第 一 阶段 的 后 门 测试 验证 。 在 经 过 测试 验证 后 , 攻击 者 在 
中 正式 加 入 完整 的 RAT 代码 , 开始 通过 官方 渠道 对 


2020 年 实施 第 二 阶段 的 正式 攻击 , 在 此 后 门类 
SolarWinds 的 客户 植 入 后 门 程 


序 。 


攻击 者 第 三 阶段 的 攻击 是 针对 目标 的 后 渗透 攻击 , 值得 注意 的 是 该 类 攻击 进行 了 非常 谨 1 
操作 , 如 在 C&C 的 DGA 请 求 前 做 了 大 量 的 安全 软件 和 工具 检测 , 在 


DGA 请 求 后 对 |P 归 


的 安全 对 抗 
属 等 进行 了 


严格 判断 ， 


寻 此 失陷 机 构 单 独 根据 


网 络 流量 


SB V/IL 


判断 受 损 情 况 。 


极 难 


"Machete (APT-C-43) 


9H, 360 安 全 大 脑 于 国内 首 家 追溯 披露 Machete (APT-C 


可 能 是 : 


前 , 这 些 威胁 活动 仍然 非常 活跃 。 


在 溯源 过 程 中 , 研究 员 发 现 此 次 行动 与 APT 组 织 


13) 黑客 组 


AY, 并 揭秘 其 行 


为 帮助 胡 安 , 瓜 伊 多 领导 的 反动 派 窃取 委内瑞拉 军 方 的 军事 机 密 并 提供 情报 支持 而 展开 。 
此 , 360 安 全 大 脑 也 将 这 一 系列 攻击 行动 命名 为 HpReqct GEA: 帮助 反动 派 政 


溯 到 2010 年 , BARE 


个 具有 西班牙 语 


和 政府 机 


构 为 主 。 多 年 来 , 一 直 以 收集 目标 


到 家 情报 并 改进 他 们 的 攻击 策 


F, 外 媒 报道 显示 , 有 超过 50 台 计算 机 被 


半 以 上 
服务 器 上 。 


属于 委内瑞拉 军队 。 与 此 同时 , 以 G 


值得 注意 的 是 , 处 于 发 展 


行动 正 是 与 Machete 组 织 的 情报 穷 取 的 行径 术 


美洲 从 事 网 络 战 的 冰山 一 角 。 


fT) o M 


Machete 有 所 关联 。 而 关于 Machete, 最 早 可 追 
根源 的 APT 组 织 , 其 攻击 目标 以 拉丁 美洲 各 国 军事 、 使 馆 
略为 
qdchete 攻 击 。 约 75% 属 于 拉美 各 国 的 军事 力量 , 其 中 


目标 。 尤其 是 在 2019 


期 的 Machete 组 织 , 主要 的 后 门 也 是 基于 Pythonmn 允 
日 吻合 。 可 以 说 , 此 次 行动 或 为 


B 为 单位 的 机 密 文 件 和 私人 信息 已 被 泄露 到 攻击 者 控制 的 


写 的 。 而 HpReact 
qdchete 组 织 在 拉丁 
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"北非 狐 (APT-C-44) 


10 月 披露 ,，《 北 非 狐 (APT-C-44) 攻击 活动 揭露 》”。360 烽 火 实验 室 联合 360 高 级 威胁 研究 院 发 
现 一 起 针对 阿拉 伯 语 地 区 的 长 达 三 年 的 多 次 网 络 攻击 活动 。 该 攻击 活动 自 2017 年 10 月 开始 至 今 , K 
平台 主要 为 Windows 和 Android。 通过 分 析 , 我 们 发 现 此 次 攻击 活动 来 自 北非 地 区 , 主要 利用 钓 
鱼网 站 和 第 三 方 文件 托管 网 站 进行 载荷 投递 , 并 且 使 用 社交 媒体 进行 传播 , 受害 者 主要 分 布 在 阿拉 作 
语 地 区 , 其 中 包含 疑似 具有 军事 背景 的 相关 人 员 。 根据 此 次 攻击 活动 的 伪装 对 象 和 攻击 目标 , 我 们 认 
为 该 组 织 目 的 是 为 了 获取 情报 先 机 。 根据 该 组 织 所 属国 家 的 地 理 位 置 以 及 其 他 特点 , 我 们 将 其 命名 为 
北非 狐 (APT-C-44) o 


H 


2018 年 2 月 北非 狐 组 织 创建 了 一 个 Facebook 账 号 用 以 传播 恶意 程序 , 该 账号 仿冒 EgChat 官 
方 Foacepbook 账 号 , 后 文中 使 用 Fake EgChat 表 示 仿 冒 账号 。Fake EgChot 主 页 与 EgChoat 
官方 主页 几乎 一 臻 (如 下 图 所 示 ) , 可 见 Facepook 公 司 针对 注册 企业 账号 没有 审核 机 制 , 正 因 如 
It, Facebook 也 成 了 APT 组 织 传播 恶意 程序 的 常用 渠道 , 此 前 我 们 揭露 的 黄金 鼠 组 织 同样 使 用 3 
Foacebook 进 行 传播 恶意 程序 。 在 Fake EgChat 账 号 Facebook 页 面 上 可 以 发 现 所 有 的 帖子 均 
在 传播 钓鱼 链接 和 恶意 应 用 下 载 地 址 。 其 中 的 帖子 最 早 可 以 追溯 到 2018 年 2 月 , 并 且 至 今 仍然 在 更 
新 相关 钓鱼 帖 , 如 下 图 所 示 。 


网 


EGER 


oLs >! Egchat 
@eegchaat 


首页 
帖子 
照片 
帖子 obs em! Egchat 
oS e 
简介 软件 
e oss 
0195538 -S — 
J 社 群 查看 全 部 
ve 103 RPT 
108 位 用 户 关注 了 
简介 全 
Q m oltgan 
dissi a cia daa Ab em y Sayin $ ily Ula gaii cia cle cea alias Lis Mari 


EF ... QP es Da eus s uad y e! Jie esl) 


B 仿 置 EOChat 官 方 Facebook 首 页 
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2020 年 攻击 态势 总 结 


01, 针 对 我 国 的 攻击 较 去 年 持续 上 升 


360 在 过 去 数 年 发 现 了 44 个 其 他 国家 背景 的 高 级 黑客 组 织 , 监测 到 3000 多 次 对 中 国 的 国家 级 网 络 
攻击 。2020 年 , 360 共 披露 了 13 个 组 织 针对 中 国 地 区 的 攻击 活动 , 其 中 4 个 组 织 是 首次 披露 , WE 
鼠 、 蓝 色魔 眼 和 旺 刺 等 组 织 。 今 年 境外 APT 组 织 针 对 我 国 相关 机 构 或 个 人 的 攻击 活动 异常 频繁 , 较 去 
年 持续 上 升 , 主要 涉及 我 国政 府 、 教 育 和 国防 军工 相关 单位 。 


从 攻击 趋势 来 看 主要 呈现 出 三 个 特点 : 
攻击 频次 显著 上 升 


首先 攻击 频次 增加 , 南亚 、 东 南亚 和 东亚 的 APT 组 织 最 为 活跃, EPERE 响尾蛇 攻击 范围 和 投入 
的 资源 几乎 是 去 年 的 一 倍 


"攻击 范围 拓展 扩 增 


dt 


次 是 攻击 目标 领域 有 所 拓展 , 除了 受 新 冠 疫情 影响 导致 医疗 行业 备 受 APT 组 织 的 关注 , 另外 还 出 现 
其 他 目标 范畴 的 拓展 , 如 海 连 人 花 组 织 今 年 集中 针对 国内 多 个 软件 服务 商 的 供应 链 攻击 , 和 侧重 关注 教 
领域 都 是 以 往 鲜 有 的 。 


= 新 组 织 不 S 7B 现 


最 后 是 针对 中 国 地 区 的 攻击 以 如 海 莲 伦 、 白 金 等 已 知 组 织 的 新 攻击 活动 为 主 , 但 也 出 现 如 蓝 色 魔 眼 、 
魔 鼠 等 多 个 历年 来 以 国际 战场 为 主 的 APT 组 织 , 今年 针对 中 国 的 攻击 也 尤其 活跃 。 
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O2 ,新 冠 肺炎 疫情 全 球 化 对 APT 的 影响 


2020 年 初 , 在 新 冠 疫 情 给 全 球 格 局 带 来 新 的 冲击 影响 下 , 境外 APT 组 织 针 对 我 国 的 攻击 活动 年 初 即 
开始 激增 , 通过 对 全 年 攻击 的 研判 分 析 , 我 们 发 现 疫情 对 APT 的 影响 主要 体现 在 三 个 方面 。 


1 .围绕 “新 冠 肺炎 疫情 ” 话题 的 诱饵 钓鱼 最 为 活跃 


利用 疫情 作为 诱饵 信息 , 如 “新 冠 肺炎 ”COVID-19 “等 关键 词 在 诱饵 文档 钓鱼 网 站 等 攻击 中 
频繁 出 现 。 以 围绕 新 冠 疫情 话题 的 利用 攻击 已 成 为 今年 最 频繁 的 诱饵 信息 , 随 着 疫情 在 国内 的 有 效 
控制 , 此 类 攻击 也 从 突 增 爆发 逐步 转 为 常态 模式 , 但 由 于 近期 全 球 确诊 已 突破 2000 万 , 随 着 冬季 到 
来 , 疫情 可 能 再 度 迎 来 高 峰 等 变化 , 相关 利用 攻击 也 开始 出 现 小 范围 突 增 ; 


XXX 传 防 发 文件 


XXX 中 心 工作 通知 


新 型 冠状 病毒 感染 引起 的 肺炎 的 诊断 和 预防 措施 


新 冠 肺炎 防 控 内 部 参考 手册 


武汉 旅行 信息 收集 申请 表 


武汉 肺炎 


我 国 新 型 冠状 病毒 疫苗 临床 研究 进展 


XXX 指 令 


收集 健康 准备 信息 的 申请 表 


冠状 病毒 实时 更 新 : 中 国正 在 追踪 来 自 湖北 的 旅行 者 


kreab china report on covid 19 impact challenges and opportunities 
Covid19 Guidelines 


E 2020 年 攻击 活动 中 国 绕 “新 冠 肺炎 疫情 ”部 分 诱饵 文档 文件 名 
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防疫 健康 码 国 际 版 


请 输入 您 的 邮箱 


请 输入 您 的 电子 邮件 密码 


Face masks are only recommended for those who are taking care of a 
person with suspected COVID-19 infection.. 


Best Type: N95 particulate respirators without respiration valve» 


Specification a ^ &——P?:- 2 
WHO standard 

N95 or FFP2 respirator, or higher. n 

VIR EENS, 音符 :请 尽快 完成 以 下 内 容 - 


Good breathability with design that does not collapse against the mouth (e.g. duckbill, cup-shl 
Minimum "N95" respirator according to FDA Class II, under 21 CFR 878.4040, and CDC NIOJ 
Mnimum "FFP2" according to EN 149, EU PPE Regulation 2016/425 Category Ill, or equival 


Jig EEEETIT I AAAI LIE. ME ALIA RATER 
15 天 内 提供 他 们 到 武汉 的 旅行 或 与 来 自 武汉 的 人 见 而 的 信息 。 如 不 符合 上 计 条 件 ， 
请 提交 没有 详细 资料 的 表格 。- 
请 填写 以 下 资料 

ARE. 你 通 到 的 人 的 细节 
姓名 。 | HG. [rm 当前 位 置 - 上 


Recognized international Standards. 
EU: EN 149, FPP2 
US: NISOH, N95 for Tb 


Korea: KS K ISO 22609, KF94 or higher. 
Japan: TM531 DS2/N85. 


LIA ARE ULES EE A Se, FEREN. 。 


提交 j 


2, 针 对 医疗 行业 的 攻击 明显 上 升 


4 月 23 日 , 世 卫 组 织 发 表 声 明 称 ”, 自 新 冠 肺炎 疫情 开始 以 来 , 针对 世 卫 组 织 的 网 络 攻击 数量 急剧 增 
加 , 是 去 年 同期 的 五 倍 多 。 世 卫 称 , 发 布 声明 这 周 约 450 个 活跃 的 电子 邮件 地 址 和 密码 被 泄露 , 还 有 
数 以 和 干 计 的 研究 人 员 邮 件 信息 被 泄露 。 基 于 360 安 全 大 脑 监控 数据 显示 , 针对 医疗 行业 的 威胁 不 仅 
在 传统 网 络 攻 击 大 量 出 现 , APT 针 对 性 攻击 也 出 现 明显 增长 , 尤其 在 今年 第 一 季度 新 冠 疫情 初期 沿 
未 完全 控制 的 期 间 。 


今年 针对 医疗 行业 的 攻击 明显 上 升 , 如 年 初 南亚 CNC 组 织 针 对 我 国 某 医院 和 医科 大 学 的 定向 攻击 ， 
2 月 中 旬 海 莲花 组 织 针 对 我 国 某 医疗 机 构 的 集中 攻击 等 , 近期 我 们 还 捕获 到 一 境外 未 知 组 织 针对 医 
疗 器 材 行 业 的 攻击 活动 , 其 中 涉及 多 个 单位 受 影响 。 但 从 整体 攻击 领域 来 看 , APT 组 织 还 是 更 多 聚 
焦 政府 、 国 防 军工 等 领域 , 针对 医疗 行业 的 攻击 或 许 只 是 短期 阶段 性 目标 ; 


WB 2020 年 攻击 活动 中 国 绕 “新 冠 肺炎 疫情 ”部 分 透 饵 文档 或 钓鱼 页 面 内 容 
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3, 远 程 办 公 成 为 APT 攻 击 “ 众 矢 之 的 - 


今年 春节 复工 后 , 有 3 亿 多 


通 院 抽 


远程 办 公 


iP fe 


,远程 办 公 在 复工 30 天 内 环比 上 升 了 663%。 据 中 国信 


样 调查 结果 , 九 成 信息 消费 企业 采取 “ 远 
办 公 让 攻击 者 更 好 的 有 的 放 矢 , 8x 


基础 设施 的 攻击 成 为 关键, S 


zu 


年 4 月 披露 的 


统 漏洞 
击 等 。 


针对 我 


国 重要 政府 机 构 的 攻击 , 以 及 /月 揭秘 的 魔 刀 组织 利 


旦 办 公 为 主 、 驻 地 办 公 为 辅 ” 的 开工 模式 。 全 
了 件 攻 击 由 此 达到 事半功倍 的 效果 。 进 
Darkhotel 组 织 利 用 某 厂 商 VPN Oday, XJ. BOAR 


球 化 的 
一 步 基 于 远程 办 公 


有 同一 厂商 VPN 漏 洞 发 起 ) 


E [5A 


CVE-2020-16875 | Microsoft Exchange Server | 远程 执行 代码 漏洞 | 09/08/2020 
CVE-2020-17085 | Microsoft Exchange Server 拒绝 服务 漏洞 11/10/2020 
CVE-2020-17084 | Microsoft Exchange Server | 远程 执行 代码 漏洞 | 11/10/2020 
CVE-2020-17083 | Microsoft Exchange Server | 远程 执行 代码 漏洞 | 11/10/2020 
CVE-2020-17143 Microsoft Exchange 信息 泄露 漏洞 12/08/2020 
CVE-2020-17141 Microsoft Exchange 远程 执行 代码 漏洞 | 12/08/2020 
CVE-2020-17117 Microsoft Exchange 远程 执行 代码 漏洞 | 12/08/2020 


E 2020 年 360 发 现 的 微软 Exchange 产 品 漏洞 
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03, 物 联网 设备 -APT 新 的 战备 


x 


Sp 


Ç 


二 ,国家 安全 机 构建 物 联网 僵尸 网 络 


" 
iF 


述 了 承包 商 如 何 建立 物 联网 僵尸 


通过 项 目 文档 的 架构 图 , 我 们 可 以 一 禹 该 僵尸 网 络 的 架构 细 


网 络 的 细节 。 


SSA, 疑似 东欧 黑客 组 织 “ 数 字 革 命 ” 曝 光 了 一 份 代号 为 “Fronton” 的 项 目 文档 ”, 该 项 目 文档 


网 络 控制 着 主要 由 网 络 视 频 录像 和 网 络 视频 监控 等 物 联网 设备 构建 的 僵尸 网 络 


当 僵尸 网 络 掌控 着 数 以 百 万 计 与 互联 网 连接 的 网 络 设 


节 , 幕后 人 员 通 过 多 重 VPN 网 络 和 TOR 


Sle, 相关 组 织 机 构 也 就 掌握 


明了 相应 规模 的 网 


络 攻 击 资源 , 幕后 人 员 利用 这 些 设 备 的 计算 能 力 和 带宽 流量 可 以 发 起 惊人 破坏 力 的 
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Puc. 1. CrpykrypHas cxeMa Makera 


“Fronton” 项目 物 联网 僵尸 网 络 
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2,Lazarus 组 织 针 对 Aruba 网 络 设备 的 攻击 活动 


我 们 观察 到 今年 Lazarus 组 织 出 现 针 对 linux 平 台 攻 击 的 变化 趋势 , 该 组 织 的 攻击 开始 向 物 联 网 设备 
PERET, 以 物 联网 设备 作为 入 侵 目 标的 突破 口 , 进一步 对 目标 实施 以 网 络 勒 索 为 目的 的 入 侵 渗透 。 


360 高 级 威胁 研究 院 在 今年 10 月 发 现 Lazarus 组 织 首次 针对 Aruba 网 络 设备 发 起 了 攻击 活动 , 攻 
击 目标 涉及 Aruba 公 司 的 产品 , Aruba 公 司 主要 为 金融 、 政 府 、 医 疗 、 教育 、 零 售 、 酒 店 等 行业 提供 
网 络 接 入 和 管理 的 产品 解决 方案 。 


基于 攻击 活跃 的 时 间 节 点 往 前 推移 , 我 们 注意 到 Aruba ClearPass Policy Manager 平 台 在 9 
月 被 曝光 了 一 个 远程 命令 植 入 漏洞 (CVE-2020-7115) 的 技术 细节 ”, 而 失陷 目标 大 部 分 都 对 外 开 
放 了 Aruba ClearPass 服 务 入 口 。 攻 击 者 疑似 是 此 漏洞 细节 曝光 后 , 在 网 络 空间 中 搜索 存在 安全 
漏洞 的 Arubag 设 备 实 施 了 大 规模 攻击 。 我 们 发 现 本 次 攻击 活动 在 欧美 、 亚 洲 等 多 个 国家 都 受到 了 影 
响 , 主要 涉及 高 校 、 能 源 和 医疗 等 行业 。 


x ea - a 4 
€ [€] tips/welcome.action xy Of e 
uptovags Guests, coNTRACTORS 
CLEARPASS 
— 
& 0 888 (9 
ea ClearPass Policy Manager | “9 ClearPass Guest 
EC Role-based Policies, Enterprise-grade AAA with Device | 访客 管理 
Profiling | 
^4 ClearPass Onboard | F3 ClearPass Insight 
e 设备 配置 | 1 于 。 高 级 分 析 、 深 度 报告 、 合 规 性 与 监管 

D 版 权 所 有 2015 Aruba Networks。 保 留 所 有 权利 


B 对 外 开放 的 Aruba ClearPass 服 务 入 
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04 ,供应 商 总 变 成 全 行业 的 安全 短 板 


供应 链 攻击 并 不 是 什么 新 兴 攻 击 手法 , SA 


E2015 年 就 有 苹果 应 用 程序 名 


码 的 XcodeGhost 事 件 ”, 2017#Net 


XshellGhost 事 件 ”, 2019 年 华硕 ASUS Live Updoate 更 新 月 


译 器 Xcode 被 植 入 恶意 代 


Sarang 旗 下 Xshell 软 件 的 关键 模块 被 植 入 高 级 后 门 的 


务 被 植 入 木马 的 供应 链 攻击 事件 和 


近年 来 引起 业界 又 动 的 供应 链 攻击 安全 事 


件 一 直 不 绝 于 耳 , 一 遍 一 遍 在 敲打 着 业界 这 座 看 似 坚固 实 


则 脆弱 不 卉 的 安全 城墙 。2020 年 供应 链 攻击 的 


安全 事件 并 没有 消停 , 供应 商 的 安全 问题 造成 影响 全 


行业 的 安全 危机 事件 一 件 一 件 被 披露 。 我 们 看 到 信息 安全 的 “ 木 桶 理论 ” 放 到 行业 层面 也 是 适用 的 ， 


整个 行业 上 下 游 的 木板 组 成 了 行业 的 信息 安全 木 桶 , 一 家 公司 的 安全 问题 所 造成 的 危害 绝 不 仅仅 只 影 


响 自身 , 还 可 能 会 演变 成 全 行业 陷落 的 安全 短 板 。 


1, 国 内 多 起 APT 供 应 链 攻 击 事件 


360 安 全 大 脑 今年 捕获 多 起 供应 链 攻 击 事 


今年 4 月 , 360 独 家 捕获 了 DarkHotel 组 织 利 


ft, 涉及 海 莲花 、 Doarkhotel 等 多 个 组 织 。 对 外 披露 了 两 
起 基于 供应 链 的 APT 攻 击 事件 , APT 组 织 均 针 对 目标 单位 的 供应 商 作 为 攻击 行动 的 突破 口 , 利用 供应 
商 的 安全 漏洞 和 服务 资源 大 范围 攻陷 目标 单位 。 


用 某 厂 商 VPN 服 务 器 的 升级 漏洞 针对 我 国政 府 机 构 进 


行 的 定向 攻击 行动 , 该 组 织 利 用 VPN 客 户 端 更 新 过 程 中 的 一 个 0doy; 
升级 更 新 程序 , 受害 机 构 有 超过 200 台 的 VPN 服 务 器 被 植 入 了 后 门 程序 。 


今年 7 月 , 美国 网 络 安全 与 基础 设施 安全 局 


攻击 活动 。 根 据 360 的 披露 , AAA he TA 


(简称 CISA) “和 360 先 后 披露 了 VVellMess 组 织 的 APT 
日 对 复杂 的 供应 链 攻击 , 从 2018 年 开始 就 针对 多 个 目标 


mel, 用 后 门 程序 取代 了 合法 的 


单位 的 同一 邮件 系统 供应 商 发 起 了 定向 攻击 , 利用 DorkHotel 组 织 类 似 的 攻击 手法 针对 邮件 系统 供 


应 商 的 售后 、 运 维 人 员 发 起 了 攻击 , 在 利用 


攻陷 供应 商 相关 售后 维护 途径 


TEN 


目标 单位 涉及 科研 、 通 信 等 组 织 机 构 。 


入 侵 至 客户 的 内 网 , 受 影响 
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2, 史 上 最 严重 的 供应 链 攻击 


美国 时 间 12 月 13 日 , SolarWinds 公 司 Orion 平 台 的 多 款 软件 被 曝 出 植 入 了 后 门 程 


Fe, 该 公司 为 全 


球 30 万 家 客户 提供 了 产品 服务 。360 第 一 时 间 对 此 安全 事件 进行 了 预警 ”, 并 独家 发 布 了 此 事件 的 完 


整 揭秘 分 析 报 告 , 该 公司 疑似 在 2019 和 
在 该 公司 软件 的 官方 安装 包 和 在 线 升级 程序 包 中 的 核心 服务 组 件 植 入 了 后 门 程序 。 


根据 360 安 全 大 脑 的 全 网 安 


场 史 上 最 严重 的 供应 链 攻击 , 致使 全 球 数 百 家 重 要 


X Solarwinds-Ori 
on-NPM-2019.4 
包 -Offlinelnstaller. 


exe 


F 就 被 黑客 组 织 入 侵 , 控制 了 该 公司 核心 软件 的 编译 发 布 流程 


E 


E» 


数据 分 析 , 我 们 发 现 了 SolarWinds 供 应 链 攻 击 事件 中 数 百 家 组 织 机 
构 的 失陷 信息 , 这 些 组 织 机 构 共 涉及 31 个 国家 , 其 中 美国 失陷 的 组 织 机 构 最 多 。 此 外 , 涉及 18 个 行 


业 , 其 中 政府 组 织 机 构 失 陷 情况 最 为 严重 , 其 次 是 金融 和 | 行业 , 同时 有 少量 网 络 安全 公司 。 可 以 说 ， 


核心 组 织 机 构 陷 落 , 给 安全 业界 敲 响 了 长 唱 


BILRFEAF RRA ET TA 


=> a 


a (a a; CORE- 
2019.4.5220.2057 
4-SolarWinds- 


ET Core- 
BIMBI ii. 


Hotfix5.msp 


) SolarWinds.Ori 


on.Core.Busine 
ssLayer.dll 


W 针对 SolarWinds Orion 攻 击 流 
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05 针对 移动 平台 的 APT 攻 击 持续 活动 


当前 手机 已 经 成 为 各 类 信息 系统 的 连接 中 心 , 从 我 们 今年 发 布 的 报告 可 以 明显 看 出 , 越 来 越 多 的 
APT 组 织 正 在 参与 开发 针对 移动 设备 的 植 入 工具 。APT 组 织 在 移动 端 执 行 攻击 活动 中 , 通常 采用 
WhatsApp 消 息 , 短信 , 应 用 市 场 和 社交 媒体 作为 初始 感染 媒介 。 相 比 PC 端 , 这 些 作为 移动 端 常见 
的 攻击 入 口 , 通过 文字 摘 述 和 诱饵 图 片 , 更 容易 诱导 攻击 目标 点 击 包含 恶意 软件 的 下 载 链接 。4 月 , 我 
门 在 肚 脑 虫 组 织 (APT-C-35) 攻击 活动 中 发 现 攻击 样本 存在 于 WhatsApp 应 用 软件 目录 下 , 根据 
巴基斯坦 信德 省 官方 网 站 公布 的 一 份 报告 中 显示 ”, 该 组 织 通 过 VVhatsApp 社 交 软 件 对 巴基斯坦 武 
部 队 和 巴基斯坦 三 军情 报 局 相关 人 员 发 起 了 一 系列 网 络 攻击 活动 。 10 月 , 我 们 在 Facebook 上 仿 
BEgChat 账户 的 页 面 信息 里 , 发 现 了 北非 狐 (APT-C-44) 使 用 的 恶意 软件 下 载 链 接 。 SA, 应 用 
场 仍然 是 常规 的 传播 分 发 方式 , PhantomLance 组 织 使 用 的 主要 传播 媒介 是 通过 应 用 程序 


市 
场 进行 分 发 , 为 了 能 绕 过 Google Play 的 上 架 审 查 , 其 通常 采用 上 架 的 初始 版 本 不 包含 任何 恶意 代 
15 
zw 


at 


53, 但 在 后 续 更 新 中 再 加 入 恶意 代码 。 由 于 这 种 方式 会 增加 随机 感染 的 受害 者 , PO T XX EE SR 
(APT-C-23) 组 织 使 用 伪造 的 应 用 市 场 , 使 用 特定 验证 码 的 方式 来 下 载 , 用 以 降低 恶意 软件 的 流 
行 度 , 增加 攻击 目标 的 针对 性 。 


在 初始 入 侵 阶 段 , 除了 感染 媒介 , 为 了 欺骗 攻击 目标 下 载 安 装 恶 意 软 件 , 今年 我 们 还 看 到 APT 组 织 精 
心 设 计 的 不 同类 型 钓鱼 网 站 。2 H, 以色列 国防 军 指责 哈 马 斯 策划 “蜂蜜 陷阱 ”行动 诱 使 以 色 列 国防 
兵 下 载 伪 装 成 多 个 约会 应 用 程序 的 移动 远程 访问 木马 , 这 些 伪装 的 约会 应 用 程序 背后 都 拥有 一 个 看 
似 官方 的 独立 网 页 , 提供 软件 介绍 和 下 载 服 务 支 持 。10 月 , 我 们 发 现 北非 狐 (APT-C-44) 组 织 曾经 
在 201 /年 制作 了 一 个 仿冒 EgChat 官 网 的 钓鱼 网 站 EgChaogt, 钓鱼 网 站 界面 与 官方 网 站 只 有 极 
少 的 差异 。 同 月 , 我们 还 发 现 肚 脑 虫 组 织 (APT-C-39) 仿冒 了 一 个 在 巴基斯坦 流行 的 在 线 交 友 网 站 
LoveHabibie 


在 仿冒 应 用 软件 方面 , 4 月 底 印 度 军队 发 出 警告 ”, Transparent Tribe 透 明 部 落 组 织 正 在 借 
助 COVID-19 全 球 大 流行 , 仿冒 印度 政府 电子 和 信息 技术 部 下 属 的 国家 信息 中 心 开 发 的 COVID-19 
跟踪 应 用 软件 , 用 来 入 侵 印 度 军 事 人 员 的 手机 。 另 外 其 他 组 织 伪装 的 对 象 比如 居 鲁 士 大 帝 、 帝 月 、 锡 
克 教 分 离 主 义 运动 等 , 针对 特定 的 宗教 和 政治 团体 。 
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06. APTARS REMMI GAA 


APT 组 织 与 安全 机 构 的 对 抗 , 并 非 只 停留 在 传统 攻击 对 抗 中 恶意 代码 主要 以 躲避 、 绕 过 等 策略 。 有 效 
的 事先 识别 和 不 涉足 安全 防御 体系 的 视野 , 是 APT 组 织 发 起 一 次 攻击 中 最 基本 的 原则 策略 , WSBT 
动 针 对 Solarwinds 攻 击 中 , 一 旦 发 现 如 卡巴 斯 基 、CrowdStrike、FireEye 等 安全 产品 , 则 会 关闭 
相关 服务 使 之 安全 防护 能 力 失 效 。 


另 一 方面 APT 组 织 还 会 善于 利用 目标 环境 内 的 安全 防护 措施 , 事 其 变 为 攻击 中 的 跳板 或 “敲门砖 ， 

如 当 突破 边界 到 达 用 户 内 网 环境 , 会 利用 杀 软 软件 产品 进行 进一步 的 横向 移动 。 这 主要 取决 于 此 类 安 
全 类 产品 本 身 内 网 覆盖 高 、 突 破 传统 隔离 阻 断 等 特性 。 今 年 捕获 到 的 海 莲 伦 _Darkhotel 等 组 织 都 
有 利用 。 


RI 


当然 有 些 APT 组 织 的 攻击 意图 并 不 仅 局 限于 此 , 安全 机 构 厂 商 才 是 他 们 最 终 目标 , 当然 这 也 不 是 新 的 
发 展 趋势 , 如 早期 的 卡巴 斯 基 安 全 厂商 被 duqu2.,0 攻 陷 “。 今 年 3 月 疑似 东欧 某 政 府 机 构 承 包 商 被 入 
侵 , 导致 有 关 入 侵 物 联网 (OT) 设备 的 Fronton 项 目 细节 被 泄露 。12 月 初 FireEye 安 全 厂商 被 攻击 
导致 其 红 队 安全 工具 被 泄露 ”。 


cr 


©) CIRCCYC Products Mandiant Solutions Customers 


Home FireEye Blogs Threat Research Unauthorized Access of FireEye Red Team Tools 


Threat Research 


Unauthorized Access of FireEye Red Team Tools 


December 08, 2020 | by FireEye 
| FIREEYE | 7 D OLS | | RED TE; 1 "| 
Overview 


A highly sophisticated state-sponsored adversary stole FireEye Red Team tools. Because we believe that an 
adversary possesses these tools, and we do not know whether the attacker intends to use the stolen tools 
themselves or publicly disclose them, FireEye is releasing hundreds of countermeasures with this blog post 
to enable the broader security community to protect themselves against these tools. We have incorporated 
the countermeasures in our FireEye products—and shared these countermeasures with partners, 
government agencies—to significantly limit the ability of the bad actor to exploit the Red Team tools. 


B FireEye 广 商 安全 通告 
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07. 关 键 行业 分 析 


政府 、 国 防 军工 、 科 技 一 直 以 来 都 是 APT 攻 击 的 主要 领域 , 由 于 国家 背景 因素 , 几乎 所 有 APT 组 织 都 
会 关注 着 几 个 领域 。 但 由 于 攻击 意图 的 不 同 , 各 组 织 之 间 针 对 行业 的 差异 较 大 。 我 们 发 现 北 美 等 地 区 
技 战术 攻击 手法 复杂 且 战 备 资源 充足 的 组 织 , 针对 的 行业 或 单位 都 相对 单一 且 更 聚焦 持久 , 而 南亚 、 
东亚 等 地 区 攻击 能 力 偏 弱 的 组 织 则 与 之 相反 。 


除 以 上 相关 领域 之 外 , 金融 、 能源、 通信 和 医疗 也 是 今年 APT 攻 击 的 主要 领域 , 尤其 是 新 冠 肺炎 疫情 
的 影响 下 , 医疗 行业 的 威胁 更 加 凸显 。 本 章节 会 对 相关 领域 今年 涉及 的 攻击 和 影响 展开 介绍 。 


m 21% ; 
0 @ 政 府 27% DER 4% 
© - @ 教 育 23% GE; 4% 
© 四 国防 军工 18% ORB 3% 
@IT 供 应 商 7% 四 金融 1% 
k 回 通信 6% @ 其 他 2% 
@ 科 研 5% 


99%, OBIT 29% OB 5% 
0 

> @ 国 防 军工 11% OME 3% 
加 金融 9% @ 煤 体 2% 
(9 FE 4 O, 3E jy O, 
OEF 6% 加 制造 业 2% 
z a ONT 6% 回 其 他 22% 

© 0 

11% ORR 5% 


e © 9% 


y 


E 图 1 2020248 开 APT 报 告 涉及 行业 分 布 


= 


文 受 影响 行业 分 布 B 图 2 2020527 


E 
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LEL 
在 新 冠 疫情 、 国 际 关系 日 趋 复 杂 等 多 种 因素 影响 下 2020 年 境外 APT 组 织 针 对 我 国 军工 行业 的 攻击 
非常 活跃 。 历 年 来 我 国 军工 行业 相关 单位 都 是 被 APT 组 织 的 攻击 重点 目标 ,相关 攻击 最 早 可 追 


2007 年 


F, 涉及 的 境外 APT 组 织 众多 , 主要 活跃 的 组 织 如 下 图 : 


蓝 宝 菇 (APT-C-12) 


(活跃 时 间 : 2011- 至 今 , 2020 年 战术 变化 ) 


T 


E Rit (APT-C-08) 


(活跃 时 间 : 2019- 


" 


z4) 


APT(APT-C-20) 


响尾蛇 (APT-C-24) 


( (活跃 时 间 : 2019- 


(活跃 时 间 : 2017-2018) 


#4) 


#4) 


DESI 


Strongpity(APT-C-41) 


(活跃 时 间 : 2019- 


0 


(活跃 时 间 : 2020-8 


海 莲花 (APT_C- 


(活跃 时 间 : 2020-8 


i 


Sz BR(APT-C-01) 


(活跃 时 间 : 2007-25, 


20208 


FE 战术 变化 ) 


行业 主 


要 活跃 组 织 
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“围绕 车工 行业 的 攻击 愈 发 频繁 且 针 对 性 更 强 


境外 APT 组 织 针 对 我 国 军工 行业 的 攻击 活动 长 期 持续 且 逐 渐 活 跃 , 早期 以 早期 APT 组 织 为 代表 的 攻 
击 均 直接 攻击 重点 军工 目标 单位 , 且 一 旦 突破 边界 继 展开 长 期 潜伏 和 横向 渗透 攻击 , 相关 攻击 往往 
会 对 某 有 具体 单位 造成 重大 且 持 续 影响 。 而 东亚 APT 的 攻击 活动 更 倾向 针对 军工 行业 相关 联 的 科技 机 
构 、 高 核 、 供 应 链 单位 等 , 常 以 军工 展会 、 军 民 融 合 等 为 主题 进行 定向 攻击 , 通过 迁 回 战术 来 达到 窃取 
军工 行业 机 密 情报 , 但 从 2020 年 开始 东亚 相关 APT 组 织 相关 作战 策略 也 开始 升级 调整 , 直接 针对 重 
点 军工 单位 的 攻击 也 愈 发 频繁 , 我 们 推测 攻击 者 当前 急于 直接 攻击 , 也 有 可 能 由 于 今年 台海 局 势 逐渐 
升级 有 关 。 


2020 年 初 开始 , 以 往 针对 军工 行业 采取 保守 起 伏 状 态 的 多 个 APT 组 织 突 然 开 始 活 路 , 其 中 主要 包 
括 责 亚 、 中 东 等 相关 APT 组 织 , 其 中 以 蓝 色 魔 眼 (APT-C-41) . BRE (APT-C-08) . Make 
(APT-C-24) 最 为 活跃 。 


= 
Cx} 


" 航空、 船舶 工业 是 重点 被 攻击 领域 


不 同 APT 组 织 针对 的 具体 军工 单位 目标 会 有 一 定 差异 性 , 整体 而 言 其 中 以 航空 工业 、 船 舶 工业 影响 最 
严重 , 这 两 个 领域 也 基本 是 相关 APT 组 织 都 会 涉及 到 的 。strongpity 和 APT28 等 组 织 都 是 以 航空 
工业 作为 重点 攻击 目标 。 而 在 针对 军工 行业 相关 细 分 领域 这 方面 , 两 亚 APT 组 织 在 初始 攻击 刺探 期 间 
基本 都 会 涉及 。 


“南亚 APT 组 织 是 主要 攻击 来 源 


基于 相关 APT 组 织 近 两 年 的 攻击 活动 分 析 得 出 , 从 相关 攻击 带 来 的 实际 影响 范围 和 持续 时 长 来 评估 ， 
南亚 APT 组 织 是 主要 攻击 来 源 。 但 从 今年 开始 南亚 组 织 的 攻击 开始 频繁 活跃 。 


中 东 APT 组 织 监 色魔 眼 今年 开始 很 活跃 且 主 要 聚焦 航空 工业 , 其 他 Dorkhotel、 #16, SAR, 
蓝 宝 菇 等 老牌 APT 组 织 今年 也 是 积极 活跃 , 造成 的 实际 影响 和 持续 时 长 较 南 亚 APT 组 织 还 较 弱 , 但 
如 果 按 现 阶段 的 聚焦 性 和 发 展 趋势 , 有 可 能 未 来 一 段 时 间 会 造成 较 大 影响 。 
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2, 金 融 


金融 是 国家 重要 的 核心 竞争 力 , 21 世 纪 全 球 金融 化 发 展 趋势 决定 了 中 国 必 须 更 加 强调 金融 的 重要 
性 , 防范 系统 性 金融 风险 和 提防 外 部 金融 冲击 是 关系 国家 安全 的 大 事 , 有 效 防范 系统 性 金融 风险 , 必 
然 要 求 建立 健全 制度 行 的 监管 机 制 。 除 了 现 有 的 制度 的 建立 , 网 络 的 快速 发 展 , 从 最 初 的 金融 诈骗 到 
数字 货币 中 , 由 国家 级 发 起 的 攻击 行动 , 可 能 引发 更 为 严重 的 影响 。 近 几 年 境外 APT 组 织 或 境内 组 织 
以 APT 攻 击 手法 针对 金融 行业 的 渗透 , 相关 攻击 事件 陆续 浮 出 水 面 。 针 对 这 类 高 级 威胁 , 如 何 加 强 排 
查 和 防范 是 金融 行业 , 尤其 如 数字 货币 这 类 新 兴 领 域 的 艰巨 挑战 。 


H 
H 


Lazarus 组 织 已 从 传统 金融 领域 战场 转移 到 数字 货币 等 新 兴 领 域 , 从 2015 年 开始 活跃 于 银行 
ATM、SWIFT 攻 击 , 逐渐 到 勒索 敲诈 、 数 字 货 币 相关 攻击 , 尤其 今年 针对 数字 货币 领域 的 攻击 异常 活 
跃 。 近 几 年 , 以 Lazarus 为 代表 的 境外 APT 组 织 持续 对 金融 领域 攻击 渗透 , 从 聚焦 于 数字 货币 监管 
机 构 、 交 易 所 等 人 员 进 行 精准 定向 攻击 , 到 根据 不 同 岗位 不 同 资源 目标 人 群 , 采取 差异 化 攻击 手段 ， 
进而 达到 窃取 交易 所 相关 数字 资产 , 甚至 更 为 核心 机 密 资料 的 目的 。 


早 在 2017 年 全 国 金融 工作 会 议 上 , 习 总 书记 就 强调 , 金融 是 国家 重要 的 核心 竞争 力 , 金融 安全 是 国 
家 安全 的 重要 组 成 部 分 。 伴随 全 球 信息 化 、 数 字 化 的 发 展 , 针对 金融 领域 以 及 数字 货币 行业 凯 饥 与 攻 
击 , 也 成 为 国家 级 网 络 力量 博 弃 的 一 重要 领域 。 尤其 当前 , 正 值 我 国 大 力 推进 数字 货币 关键 时 期 , 相 
关 政 策 方 向 、 技 术 突破 等 都 将 成 为 APT 组 织 幕后 主导 者 重点 关注 所 在 。 


2019 年 8 月 全 2020 年 9 月 暴风 行动 伪装 交易 平台 , 针对 交易 所 人 员 
2018 年 3 月 至 2020 年 11 月 危险 密码 投递 诱饵 文档 , 针对 数字 货币 行业 
2020445 2020#11A CRAT? 投递 诱饵 文档 , 针对 数字 货币 行业 


E 2020 年 Lazarus 针 对 数字 货币 主要 的 三 次 攻击 活动 
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I, 1A, 


2020 年 以 来 , 全 球 范 围 内 先后 发 生 了 多 起 针对 能 源 行 业 的 攻击 事件 , 造成 了 严重 的 影 
APT33 组 织 攻击 欧洲 能 源 部 门 “, 此 次 攻击 旨 在 窃取 与 欧洲 能 源 相 关 的 敏感 信息 ; 4 月 , 思科 Talos 
关 的 SCADA 系 统 ; 今年 9 月 ， 


披露 发 现 有 针对 阿塞拜疆 能 源 领域 的 攻击 “, 主要 是 与 风力 涡轮 机 本 
Zscqler 安 全 团队 披露 了 针对 中 东 石 油 和 天 然 气 行业 多 个 供应 链 组 织 的 攻击 活动 ”, 主要 通过 钓鱼 
邮件 的 方式 传播 恶意 PDF 文件 。 


“的 网 络 安全 风险 所 带 来 的 不 仅仅 是 信息 泄露 、 信 
接 的 、 实 质 性 的 影响 , 如 社会 生产 瘫痪 、 交 通 


年 为 关系 国家 安全 和 民生 的 关键 信息 系统 , BIRT 
会 对 现实 世界 造成 直 


息 系统 无 法 使 用 等 “小 ” 问题, 而 


NER Wein, 环境 污染 等 。 


Recorded Future 


1H23H APT33 攻 击 欧洲 能 源 部 门 
1 月 /日 伊朗 APT 组 织 入 侵 阔 特 石油 公司 prevailion 
本 和 葡萄牙 跨国 能 源 公 司 〈 天 然 气 和 电力 ) EDP 
4 月 14 EN bleepingcomputer 
RAFAH, 赎金 高 达 1090 万 美金 
思科 Talos 披 露 发 现 有 针对 阿塞拜疆 能 源 领域 的 . 
思科 Talos 


4H16 i . 
攻击 , 主要 是 与 风力 涡轮 机 相关 的 SCADA 系 统 


6 月 16 日 巴西 的 电力 公司 Light S, 人 A 被 黑客 勒索 
7 月 2 日 1400 万 美元 的 赎金 , AppGate 的 安全 研究 人 
员 分 析 认 为 是 Sodinokibi 勒 索 软 件 


securityweek® 


Zscaler 


9H29 对 中 东 石 油 和 天 然 气 供应 链 产业 的 针对 性 攻击 


10H12B, 印度 孟买 遭受 大 规模 严重 断 电 事件 ， | EK 
11H20 h a businessinsider^* 
疑似 源 自 国家 支持 的 黑客 攻击 活动 。 


E 2020 年 针对 能 源 行 业主 要 攻击 事件 
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Request for Quotation ("RFQ") 
Date: 29-Aug-2020 


RFQ Title: PI-18031: Dalma Gas Development Project (Package B)-TENDER 
BULLETIN-01 


TECHNICAL AND COMMERCIAL FILES: 
PROJECT DESCRIPTION FILE 


https://we.tl/t-cFvm5QQlyV 


https://we.tl/t-nMKuKWbMIE 


ee 


1. In the top-right corner of the browser window, click the Chrome menu 
Chrome menu. 

2. Select Settings. 

3. Click Show advanced settings. 

4. Under "Privacy," uncheck the box "Protect you and your device from 
dangerous sites" 


For and on behalf of Abu Dhabi Oil Refining Company 


For Procurement Division 


W 伪装 成 与 Dalmma 天 然 气 开发 项 目 相关 文档 
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4, 通 信 


从 早期 的 美国 国家 安全 局 NSA 旨 在 监视 全 球 手机 网 络 发 起 的 代号 为 
AURORAGOLD (极光 黄金 ) 计划 被 披露 和“, 到 去 年 MuddyWater 
组 织 针对 伊拉克 移动 运营 商 (Korek Telecom) 发 起 的 定向 攻击 “和 
DeadlyKiss“ 全 球 范围 针对 基础 电信 行业 的 攻击 。 从 这 些 重 大 攻击 事件 、 
幕后 背景 和 影响 广泛 程度 等 , 我 们 不 难看 出 通信 行业 , 尤其 是 基础 电信 行业 
对 这 些 具有 国家 背景 APT 组 织 的 重大 战略 意义 。 


新 冠 疫情 影响 下 全 球 化 的 远程 办 公 、 云 上 作业 等 , 使 得 今年 通信 行业 面临 的 
问题 挑战 和 相应 而 来 的 威胁 较 以 往 都 更 加 严峻 。 基 于 360 安 全 大 脑 对 APT 
组 织 攻 击 活动 的 持续 监控 , 我 们 发 现今 年 针对 通信 行业 的 攻击 活动 依然 很 活 
跃 , 虽然 攻击 涉及 APT 组 织 不 多 , 但 相关 攻击 呈现 短期 集中 频繁 且 潜 伏 时 间 
极 长 。 


海 莲 花 (APT-C-00) 老牌 APT 组 织 , 从 去 年 年 底 开 始 将 通信 行业 相关 单位 
FAS RMA iN, 该 组 织 今年 技 战术 整体 都 有 较 大 调整 提升 , 针对 通信 行 
业 的 攻击 也 采用 了 最 新 的 供应 商 攻击 方式 。 潜 行者 (APT-C-30) 是 一 个 长 
期 针对 我 国 重 点 政府 、 通 信 等 领域 , 来 自 东南 亚 方向 的 组 织 , 该 组 织 以 攻击 行 
BPRS MI, 攻击 周期 长 为 特点 , 涉及 我 国 通信 行业 的 攻击 最 早 可 以 追溯 到 
2014 年 , 尤其 今年 针对 某 基础 电信 企业 的 攻击 非常 活跃 。 


虽然 今年 针对 基础 电信 行业 的 APT 攻 击 还 是 以 网 络 间谍 穷 密 为 主 , 但 针对 通 
信行 业 涉 及 支持 破坏 等 威胁 还 需要 持续 重点 关注 , 如 今年 发 生 的 俄罗斯 电信 
运营 商 Rostelecom 动 持 事件 “、 阿 根 廷 电信 公司 遭受 勒索 软件 攻击 , RH 
攻击 无 论 是 过 失 、 趋 利 或 其 他 意图 , 这 种 危及 到 核心 业务 本 身 , 所 造成 的 实际 
影响 是 巨大 的 。 
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5 医疗 


4 月 23 日 , 世 卫 组 织 发 表 声明 称 “, 自 新 冠 肺炎 疫情 开始 以 来 , 针对 世 卫 组 织 的 
网 络 攻击 数量 急剧 增加 , 是 去 年 同期 的 五 倍 多 。 世 卫 称 , 发 布 声明 这 周 约 450 
个 活跃 的 电子 邮件 地 址 和 密码 被 泄露 , 还 有 数 以 和 干 计 的 研究 人 员 邮 件 信息 被 泄 
露 。 基于 360 安 全 大 脑 监 控 数据 显示 , 针对 医疗 行业 的 威胁 不 仪 在 传统 网 络 攻 
击 大 量 出 现 , APT 针 对 性 攻击 也 出 现 明显 增长 , 尤其 在 今年 第 一 季度 新 冠 疫情 
初期 尚未 完全 控制 的 期 


Blo 


CNC 组 织 主要 在 年 初 国内 疫情 爆发 期 间 , 主要 针对 我 国 某 医 院 和 医科 大 学 的 
集中 攻击 , 攻击 者 利用 肺炎 疫情 相关 题材 作为 诱 乌 文档 (如 : 武汉 旅行 信息 收 
集 申请 表 ) ,通过 邮件 投递 攻击 。2020 年 1 月 未 , 我 们 立即 对 相关 重点 客户 进 
行 预警 加 强 防范 , 从 2 月 初 开 始 该 组 织 相关 攻击 已 经 收敛 缓解 。2 月 下 旬 又 监 
控 发 现 源 于 东南 亚 的 海 莲花 组 织 , 针对 我 国 某 重 要 卫生 医疗 机 构 、 医 疗 器 材 和 
制药 公司 等 多 家 单位 , 其 最 终 意 图 是 为 了 窃取 相关 抗 疫 机 密 情 报信 息 , 相关 攻 
击 持续 到 5 月 。 另 外 今年 东亚 方向 的 Darkhotel、 毒 云 芯 组 织 也 积极 活跃 在 我 
习 多 家 医科 大 学 、 制 药 公 司 等 。 进一步 下 半年 我 们 监控 捕获 到 两 个 境外 未 知 组 
A, 分 别针 对 国家 重点 医疗 机 构 和 医疗 器 材 行业 展开 针对 攻击 。 
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由 于 全 球 疫情 并 非 能 一 朝 


夕 完全 结束 , 未 来 针对 
晶 从 整体 攻击 态势 和 涉及 领域 来 看 ,人 
焦 政府 、 国 防 军工 等 领域 。 针 对 
程 


x. 


医疗 行业 的 威胁 会 持续 高 于 以 往 ， 
PT 组 织 更 多 还 是 借助 新 冠 疫情 热点 话题 , 来 
医疗 行业 的 攻击 或 许 只 是 阶段 性 
医疗 等 新 攻击 面 的 产生 , 以 及 类 似 以 勒索 为 


B 
ze 


Xi 


目标 , 另 一 方面 随 着 远 
FER, 而 目的 是 破坏 的 攻击 频 发 , 我 们 不 


又 不 能 掉以轻心 还 需 进一步 加 强 警 惕 。 


海 莲花 (APT-C-00) 


(针对 目标 : 某 3] 生 医 疗 机 构 、 某 


医疗 器 材 广 商 、 某 制药 公司 ) 


e 
CNC(APT-C-48) 境外 未 知 组 织 (APT-C-52) 
(针对 目标 : 某 医院 和 某 医科 大 学 ) (针对 目标 : 针对 多 个 医疗 器 材 企 业 ) 


l 


Darkhotel(APT-C-06) 境外 未 知 组 织 (APT-C-51) 
(针对 目标 : 多 个 医科 大 学 ) (针对 目标 : 某 J 


E yr NUS) 


B 针对 国内 


医疗 行业 相关 定向 攻 刘 


IT 


PART 


全 球 高 级 
持续 性 威胁 APT 
研究 报告 


Ue 
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MITRE Al 
者 行为 的 通用 语言 , 以 及 针对 这 
告 中 的 热点 技术 和 360 内 部 海 
2020 年 攻防 对 抗 中 所 涉及 的 十 大 核心 


些 攻击 
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= 一 Antivirus/Antimalwarexsc 

= Code Signin \ 
=== Disable or Remove Feature or Pree 
= Credential Dumping MitlgaNSN 

== User Training 
— Active Directory Configuration 
= Password Policies 

= Privileged Process wy x " 
= Operating System Configuration ^ E 
= Credential Access Protection ^ (fy 
= Encrypt Sensitive Information 


|... | User Account Management 


i | Privileged conte rd et f 
= Limit Software Installation 

E Execution Prevention / 
(Audit / 

I Restrict File and Directory Permissions 
= Behavior Prevention opbnepoint 


y^ 


M. 
= Restrict Registry Permissions 
— User Account Control 

= Restrict Library Loading 

I3 Update Software 

= Supply Chain Compromise Mitigation 
= 一 Vulnerability Scanning 


&CK 框 架 ” 是 广 受 业界 认可 的 网 络 


量 阔 箱 检 测 


E | Command and'Scripting Interpreter (T1059) 
X 


行为 的 缓解 和 检测 方法 。 我 们 根 
结果 的 数据 , 结合 ATT&C 
技 战 术 攻 防 知 识 图 谱 。 


K 框 


架 提 炼 了 全 


2020 Top 10 ATT&CK Techniques 


球 APT 组 织 右 


安全 攻防 战术 和 技术 知识 库 , 提供 了 可 以 描述 攻击 
中 2020 年 业界 所 披露 APT 报 


DATA SOURCES 


Packet capture m 


E Supply-Chain Compromise (T1195) 


Process use ol 


[] Create or Modify System Process (T1543) 
NN e 

bs ~ 

WSS 

加 Hijack Execution Flows(T1574) w, 


- m 
1055) —R— 


Software Discover, 


Remote Services (T1021) W 2 DS 


Hy), 


SS 


oN 
B 


Stackd 
[| Protocol Tunneling | 1572) 


Environmen 
{J Exfiltration Over C2 Channel (T1041) 


Netflow/Enclave netflow L] 


Process monitoring 


\ ww AS 
Se iocessicommand-line parameters 


f networl 


Me co protocol analysis| | 


p se 
ZE logs {| 


Windows. Registry [X] 


PowerShell logs E 


Windows event logs E) 


2 7 ~ ms Ai 图 


— monitoring | 


Named Pipes =m 
SN CloudTrail logs em 


river-logs ea 


B aie activity logs s 


t variable zu 


Loaded DLLs c 


Web proxy === 


W 2020 年 十 大 核心 技 战术 攻防 知识 
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T1195 71543 
Supply Chain Compromise Create or Modify System Process 
(供应 链 失陷 ) (创建 或 更 改 系统 进程 ) 
T1155 11059 TXDUS 
Process Injection Command and Scripting Interpreter OS Credential Dumping 
(进程 注入 ) (命令 和 脚本 解释 ) (系统 凭证 提取 ) 
121. T1041 [Love 
Remote Services Exfiltration Over C2 Channel Protocol Tunneling 
(远程 服务 ) (利用 C2 通道 渗 漏 数据 ) (协议 通道 ) 


i] LES 11574 
Software Discovery Hijack Execution Flow 
(软件 探测 ) (执行 流动 持 ) 


在 2020 年 十 大 核心 攻击 技术 的 使 用 趋势 中 , 供应 链 攻 击 无 疑 是 今年 最 为 热门 的 攻击 技术 , 流行 的 无 
文件 攻击 仍然 频繁 使 用 恶意 脚本 、DLL 支持 和 进程 注入 等 技术 , APT 组 织 在 攻陷 目标 后 大 都 提取 系 
统 的 管理 员 凭证 进一步 扩大 战果 , 后 门 程序 越 来 越 着 重 探 测 安全 软件 后 再 实施 不 同 的 对 抗 策略 , 内 
网 的 横向 移动 攻击 仍 以 攻击 远程 Windows 服 务 为 主 , 木马 程序 越发 擅长 使 用 不 易 被 检测 的 正规 加 
密 协议 进行 通信 和 次 取 数 据 。 除了 关注 攻击 技术 , 我 们 在 知识 图 谱 中 标注 了 2020 十 大 攻击 技术 对 应 
在 ATT&CK 框 架 中 的 20 种 检测 数据 源 和 29 个 预防 缓解 措施 , 在 知识 图 谱 中 这 十 大 攻击 技术 与 左 侧 
的 缓解 策略 、 右 侧 的 数据 源 都 保持 着 紧密 的 对 应 关系 , 这 些 攻击 行为 需要 对 应 不 同 维度 的 安全 数据 源 
才能 被 发 现 检测 , 同时 要 实施 对 应 的 安全 策略 才能 有 效 缓解 防御 , 对 于 2020 年 十 大 核心 攻击 技术 的 
检测 和 缓解 有 一 定 的 指导 意义 。 


W 2020 年 十 大 核心 技 战术 
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02. 利 用 0day 漏 洞 攻击 持续 活路 


基于 Google Project Zerot”, 今年 在 野 0day 攻 击 与 去 年 基本 持 


平 。 基于 浏览 器 漏洞 的 攻击 占 很 大 比例 , 今年 年 初 360 首 次 捕获 Darkhotel 
(APT-C-06) 使 用 双星 0day 浏 览 器 漏洞 对 中 国政 府 机 构 进 行 攻击 。 另 


外 卡巴 斯 基 披 露 了 PowerFa 


Workspace One 的 0day 利 


行动 和 NSA 披 露 了 落座 行动 中 VMware 


用 。 其 他 在 野 0qay 攻 击 暂 未 有 安全 厂商 或 机 


构 公 开 披 露 APT 攻 击 活动 细节 。 有 具体 0day 集 合 请 参看 下 页 列表 。 


较 其 他 攻击 技 战术 , 0day 攻 击 本 身 成 本 非常 高 , 常常 用 于 针对 高 价值 目标 的 
定向 攻击 。 由 于 近 几 年 基于 供应 链 攻 击 其 隐 菩 性 、 攻 击 成 本 低 且 高 收益 等 诸多 
优势 不 断 体现 , 很 多 APT 组 织 在 使 用 0dqay 攻 击 时 会 更 加 谨慎 保守 , 我 们 预测 


未 来 此 类 0day 攻 击 不 会 爆发 , SE 


针对 移动 平台 今年 年 初 趋势 科技 披露 ”, 在 Coogle Play 商店 中 发 现 了 响 尾 
蛇 组 织 使 用 的 3 个 恶意 应 用 程序 , 它们 可 以 协同 工作 以 破坏 受害 者 的 设备 并 收 


体会 趋 于 平稳 。 


集 用 户 信息 。 其 中 一 个 名 为 Camero 的 应 用 利用 了 CVE-2019-2215, 该 
漏洞 存在 于 Binder 中 , 这 是 在 野外 首次 利用 所 述 UAF 漏 洞 的 实例 。 12H; A 
民 实 验 室 披露 "NSO Group 使 用 IOS 中 的 IMessage APP 中 一 个 无 需 用 
户 交 互 的 0day 漏 洞 Kismet, 该 漏洞 影响 /OS 14 之 前 的 版 本 。 在 2020 年 7 


月 和 2020 年 8 月 期 间 , 至 少 有 36 名 半岛 电视 台 的 记者 、 制 片 人 、 主 持 人 和 高 管 


以 及 在 伦敦 的 一 名 记者 遭 攻 击 。 
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CVE-2019-17026/CVE-2020-0674 IE 浏览 器 和 火狐 浏览 器 360 
CVE-2020-6418 Chromel 9a 28 Google 
趋势 科技 Apex One 
= = - ^ A AR| 机 
CVE-2020-8467/CVE-2020-8468 和 ss 趋势 科技 
CVE-2020-6819/CVE-2020-6820 火狐 浏览 器 JMPSec 
CVE-2020-1020/CVE-2020-0938 mero e 
执行 漏洞 奇 安 信 
CVE-2020-1027 Windows 提 权 Google 
CVE-2020-1380/CVE-2020-0986 IE 浏览 器 和 VVindows 提 权 卡巴 斯 基 
CVE-2020-15999/CVE-2020-17087 | Chrome 了 配合 Windows 提 权 | Google 
CVE-2020-16009/CVE-2020-16010 Chrome 浏 览 器 Google 
CVE-2020-27930/CVE-2020-27950/ 
iOS Google 
CVE-2020-27932 
CVE-2020-16013/CVE-2020-16017 Chrome bias Google 
CVE-2020-4006 VMware Workspace One NSA 


E 2020 年 在 野 0dqQy 攻 击 丈 


表 
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03 ,疫情 影 响 下 VPN 成 为 边界 突破 新 入 口 


疫情 影响 下 全 球 化 的 远程 办 公 让 攻击 者 更 好 的 有 的 放 矢 , 鱼 叉 邮件 攻击 由 此 达到 事半功倍 的 效果 。 
年 初 海 连 花 组 织 针对 我 国医 疗 机 构 的 攻击 活动 中 , 对 相关 目标 的 大 量 邮 箱 发 送 了 含有 图 片 探 针 的 探 
测 邮件 , 用 以 探测 攻击 目标 的 邮箱 是 否 真实 存在 。/ 月 葛 灵 人 花 发 起 了 “季风 行动 ”更 是 大 规模 的 邮件 的 
e 5 deal. 


XSI BBA ZAHA, VPN 在 企业 、 政府 机 构 的 远程 办 公 中 起 着 不 可 或 缺 的 重要 作用 , 云 办 
公 模 式 也 正在 经 历 着 繁荣 侈 升 期 。 但 随 着 疫情 的 蔓延 , 不 少 安全 专家 也 提出 了 对 VPN 安 全 性 的 担忧 ， 
VPN 一 旦 被 黑客 组 织 攻 陷 , 众多 企 事业 单位 的 内 部 资产 将 暴露 在 公 网 之 下 , 没有 任何 安全 保障 , 损失 


将 不 可 估量 。 


今年 鱼 叉 邮 件 钓鱼 依然 是 主要 的 初始 攻击 方式 , 但 针对 VPN、 邮 件 服务 器 、 〇 A 办 公 系 统 等 远程 办 公 
基础 设施 的 攻击 也 愈 发 频繁 , Fox Kitten 组 织 从 2019 年 至 2020 年 通过 多 个 VPN 和 网 络 设备 的 漏 


洞 入 侵 企 业 网 络 。 


魔 鼠 APT 组 织 标 用 户 标 用 户主 机 
(APT-C-42) (被 攻陷 控制 ) 


魔 鼠 APT 组 织 在 针对 国内 某 重 点 供应 商 的 攻击 , 首先 架设 了 恶意 的 VPN 服 务 器 , 进一步 通过 社会 工 
程 学 的 方式 诱导 目标 用 户 登录 。 当 目标 用 户 使 用 存在 漏洞 的 VPN 客 户 端 连接 恶意 VPN 服 务 器 时 , 将 
自动 下 载 恶 意 的 更 新 包 并 执行 。 


B 魔 思 组 织 攻击 流程 
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04, 控 制 基 础 网 络 设施 


如 上 章节 所 述 , 远程 办 公 基 础 设施 的 攻击 愈 发 频繁 , VPN、O 〇 A 系统 等 , 都 是 都 是 企业 信息 化 不 可 或 
缺 的 部 分 。 我 们 4 月 披露 的 Darkhotel 组 织 不 仅 利用 了 VPN 0day 漏 洞 , RAFAT BIASED AOA 
系统 漏洞 进行 内 网 入 侵 。 值得 注意 的 是 同期 Globelmrnposter 款 索 软件 也 是 利用 了 国内 某 厂 商 〇 A 
系统 漏洞 , 使 得 某 行 业 多 个 企业 受 影 响 。 基 于 控制 企业 基础 网 络 设施 来 实现 进一步 渗透 入 侵 , 并 不 是 
一 种 新 的 攻击 手法 , 但 是 由 于 突然 性 的 大 规模 远程 办 公 将 这 一 场景 面临 的 问题 风险 不 断 放 大 。 


| 标 用 户主 机 
| (被 攻陷 控制 ) 
= EJ 

: ! 
Darkhotel APT 组 织 标 单位 客户 VPN 服 务 器 ' 标 用 户主 机 
(APT-C-06) (被 攻陷 控制 ) ， “(被 攻陷 控制 ) 
标 用 户主 机 


(被 攻陷 控制 ) 


Darkhote|l 利 用 控制 基础 网 络 设施 , 利用 某 厂商 VPN 漏 洞 攻击 流程 , 利用 〇 A 漏 洞 流程 也 是 类 似 。 


步骤 1: 攻击 者 入 侵 目标 单位 VPN 服 务 器 , 并 将 服务 器 上 关键 升级 程序 蔡 换 为 木马 后 门 程序 ; 


步骤 2: 当 用 户 在 使 用 VPN 客 户 端 连 接 服务 器 时 , 客户 端 默认 会 触发 升级 行为 , 导致 下 载 并 执行 了 被 
替换 为 后 门 的 恶意 程序 。 另 外 整个 升级 过 程 存在 安全 漏洞 (漏洞 编号 SRC-2020-281), 客户 端 仪 
对 更 新 程序 做 了 简单 的 版 本 对 比 , 没有 做 任何 的 安全 检查 。 导致 黑客 攻破 VPN 服 务 器 后 算 改 升级 配 
置 文件 并 轮换 升级 程序 , 利用 此 漏洞 针对 VPN 用 户 定向 散播 后 门 程序 。 


B Darkhotel 组 织 攻 击 流程 
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05, 安 全 软件 已 成 为 横向 移动 主要 媒介 


APT 攻 击 中 针对 安全 防护 软件 不 仪 检测 躲避 进行 对 抗 , 现在 更 多 是 利用 内 网 安全 软件 达成 下 一 步 目 
标 : 横向 移动 。 今 年 捕获 的 海 莲 伦 、 Dorkhotel、 魔 鼠 等 组 织 都 已 将 这 种 方式 作为 首选 , 以 及 历史 上 
其 他 几 个 技 战术 属于 头 部 的 APT 组 织 , 都 曾 利用 过 目标 环境 内 的 安防 软件 进行 横向 移动 。 各 大 APT 组 
织 都 如 此 青睐 这 种 攻击 方式 , 主要 由 于 安全 类 产品 内 网 覆盖 高 、 本 身 权限 较 高 (节省 提 权 环节 ) 、 突 破 
传统 隔离 阻 断 等 特性 。 


Darkhotel 组 织 攻 击 


ET 
z 
if 


i - d | EJ 
步骤 1 步骤 2 ' 


标 内 网 某 杀 软 服务 器 ' 标 用 户主 机 
(被 攻陷 控制 ) ! “(被 攻陷 控制 ) 
乡 织 
ARTAR 标 用 户主 机 
潜行 者 组 织 攻击 流程 EE T 
_ E3ES — [4 
步骤 1 步骤 2 BE | 
ZH. ， 
标 内 网 任意 主机 假冒 目标 内 网 ， 标 用 户主 机 
(被 攻陷 控制 ) 杀 软 升级 服务 器 | (被 攻陷 控制) 


典型 攻击 流程 1: Darkhotel 组 织 首先 攻陷 目标 内 网 杀 软 升级 服务 器 , 进一步 将 更 新 程序 替换 为 恶意 
攻击 组 件 , 由 于 杀 软 客户 端 更 新 过 程 缺 乏 安 全 校 验 机 制 或 被 绕 过 , 导致 目标 内 网 机 器 轻松 被 攻陷 。 


典型 攻击 流程 2: 潜行 者 组 织 首先 攻击 目标 内 网 任意 主机 , 进一步 将 其 构造 搭建 为 某 虚假 杀 软 升 级 服 
Bas, 利用 杀 软 客户 端 漏洞 蔡 换 升级 服务 器 内 网 地 址 , 并 触发 客户 端 升级 操作 , 导致 下 载 恶 意 更 新 包 
并 执行 。 


L| 利 杀 软 进行 横 [E] 移动 主 流 攻 击 流程 
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06 ,命令 控制 技术 变化 趋势 


由 于 现今 网 络 大 环境 对 于 个 人 隐私 安全 愈加 重视 , 各 组 织 机 构 开始 大 力 推行 强制 流量 加 密 技术 , 如 浏 


览 器 强制 执行 HTTPS 加 密 、 利 用 DNS over TLS ( 
流量 安全 设备 的 攻防 也 开始 更 加 重视 , 趋 于 将 C2 网 络 通 信 流 量 与 正常 流量 混合 , 以 此 来 隐藏 C2 
信 , 以 绕 过 流量 安全 检测 防护 为 目 来 进行 命令 控制 。 这 些 技术 趋势 的 变化 和 攻防 技术 的 演 进 , 都 给 


量 安全 检测 带 来 了 巨大 的 挑战 。 


DoT) 加 密 


DNS 通信 等 。 另 一 方面 攻击 者 对 网 络 


通 
an 
AL 


命令 控制 (C&C 或 C2) 是 在 APT 攻 击 阶段 中 最 核心 的 一 环 , 后 门 程序 通 过 自 定义 的 C2 通道 与 控 
制服 务 器 进行 通信 交互 , 攻击 者 对 受害 者 进行 控制 从 而 实施 真正 造成 危害 的 攻击 活动 。 在 2020 年 的 
APT 攻 防 对 抗 中 , 我 们 看 到 命令 控制 技术 对 抗 安全 检测 的 许多 变化 趋势 。 


C2 服务 器 伪装 成 exchange 邮 件 服务 、 开 源 的 云 
存储 服务 器 , 或 利用 第 三 方 的 正常 云 服 务 作为 C2 


基础 设施 不 做 任何 隐 贡 的 独立 服务 器 


服务 器 中 转 


使 用 自 定义 协议 和 常规 的 HTTP[S] 
协议 , 对 流量 不 做 任何 伪装 


通信 协议 


使 用 WelbSocket 协 议 、 伪 装 成 云 对 象 存储 请 求 


等 ， 


将 命令 控制 隐藏 在 正常 的 网 络 i 


行为 流量 内 


求 和 网 络 应 用 


C28 域名 解析 |P 不 做 任何 保护 


利用 域 前 置 技术 将 C2 域名 伪装 为 正规 域名 , 真正 


的 C2 域名 和 基础 设施 藏 于 C 


DN 服务 商 背 后 


控制 形式 直接 粗暴 的 反 向 连接 


E 
Ut 


DNS 隧道 向 外 部 服务 器 报告 主机 信息 , 根据 信 


息 判断 再 激活 下 一 阶段 的 恶意 代码 


PART 


全 球 高 级 
持续 性 威胁 APT 
研究 报告 


06 
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2021*FAP TES I 


01, 针 对 中 国 的 国家 级 网 络 攻 击 , APT 2822 
数量 和 攻击 活跃 程度 可 能 会 超过 今年 


2020 年 境外 APT 组 织 针对 我 国 相 关机 构 或 个 人 的 攻击 活动 异常 频繁 , 较 去 
年 持续 上 升 , 和 PT 攻击 正 逐 渐 呈 现 出 常态 化 、 高 频率 的 特性 。 由 于 地 缘 关系 、 
新 冠 肺炎 疫情 的 持续 影响 等 长 期 问题 , 以 及 从 针对 我 国 活跃 组 织 数 量 不 断 
的 增加 趋势 推测 , 我 们 预测 明年 已 知 APT 组 织 依然 会 持续 攻击 , 而 且 攻 击 程 
度 会 进一步 增加 。 另外 新 组 织 或 历史 未 知 攻击 会 不 断 浮现 出 来 。 尤其 在 围绕 

“十 四 五 规划 ”和 2035 年 远景 目标 “等 相关 政策 方向 、 新 技术 研究 落地 期 
le], 这 类 多 个 APT 组 织 都 会 关注 的 领域 , 相关 攻击 会 更 活跃 , 尤其 在 某 些 技 
术 有 重要 突出 的 时 刻 可 能 会 出 现 集中 攻击 的 情况 。 
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02 ,围绕 新 冠 肺炎 疫情 话题 的 攻击 


将 持续 活跃 


2020 年 初 , 在 新 冠 疫情 给 全 球 格 局 带 来 新 的 冲 


影响 下 , 境外 APT 组 织 针 


对 我 国 的 攻击 活动 异常 频繁 。 利 用 新 冠 肺炎 热点 事件 进行 诱饵 定向 攻击 已 成 
常态 主流 , 目前 全 球 范 围 内 累计 新 冠 肺炎 的 确诊 人 数 更 是 已 经 突破 /000 万 


人 , 对 于 全 球 疫情 防 控 形势 , 张 文 宏 专 家 也 做 


出 分 析 ”, 他 认为 至 少 在 未 来 的 


1-2 年 内 全 球 范围 的 疫情 都 不 会 结束 。 随 之 而 来 的 APT 攻 击 也 会 持续 围绕 ， 


突 增 活跃 。 


在 全 球 疫 情 控制 过 程 中 重大 进展 突破 或 变化 , 都 可 能 会 导致 相关 攻击 的 短期 


03, 涉 及 远程 办 公 基 础 设施 的 攻击 将 


EX AC MER 


2020 年 春节 后 , 在 新 冠 肺炎 疫情 初步 得 到 控制 和 复工 初期 , 远程 办 公 几 乎 成 


为 企业 和 用 户 唯一 的 选择 , 继而 相关 配套 信息 化 基 而 


1 设施 也 必须 加 速 建设 。 进 


一 步 如 VPN、 邮 箱 等 远程 办 公 基 础 设施 的 安全 问题 也 随 之 而 来 。 3 月 , 全 国信 


息 安全 标准 化 技术 委员 会 秘书 处 针对 远程 办 公安 全 问题 , 组 织 相 关 厂 商 和 安全 


ER, 编制 并 发 布 了 《网 络 安全 标准 实践 指 


南 一 远程 办 公安 全 防护 》”。 另外 今 


年 我 们 已 经 捕获 到 多 起 利用 远程 办 公 的 定向 攻击 活动 , 如 披露 的 Darkhotel 


利用 VPN 漏 洞 的 攻击 活动 。 


全 球 范围 内 的 疫情 不 会 短期 结束 , 虽然 


fl, 大 部 分 企业 已 恢复 驻地 办 公 , 但 由 于 疫苗 大 范围 


目前 中 


到 等 部 分 


国家 疫情 基本 得 以 控 


接种 、 病 毒 变异 等 诸多 变 


化 因素 。 远程 办 公 方 式 将 一 直 持 续 并 在 一 些 企业 已 经 转换 为 主要 办 公 方 式 , 如 
微软 下 半年 公布 的 允许 员工 永久 远程 办 公 等 。 
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04, 以 供应 商 为 核心 目标 的 供应 链 攻 击 将 
tB e XA 


2020 年 针对 供应 链 的 攻击 已 成 为 APT 组 织 主 要 使 用 的 技 战术 之 一 , 而 且 聚 
焦 针对 供应 链 中 供应 商 进行 定向 攻击 。 今年 披露 的 Dorkhotel 针 对 VPN 的 
攻击 , 魔 鼠 针对 某 邮 件 系 统 供应 商 的 攻击 , 以 及 海 茵 伦 组 织 今年 针对 多 个 大 
型 |T 供 应 商 , 相关 供应 商 的 客户 主要 涉及 国内 教育 、 通 信和 政府 行业 。 另 外 
12 月 披露 的 针对 Solarwinds 攻 击 , 堪 称 史上 影响 力 最 大 的 供应 链 攻击 行 
动 , 几乎 是 核弹 级 别 的 供应 链 攻 击 。 


由 于 供应 商 一 般 没 有 针对 性 的 防御 措施 , 而 且 大 部 分 都 是 提供 行业 解决 方案 
或 定制 化 服务 , 即 攻陷 某 一 供应 商 , 则 所 涉及 行业 相关 单位 也 都 在 掌控 中 , 这 
使 得 一 般 以 行业 为 目标 的 APT 攻 击 事半功倍 , 大 大 降低 了 攻击 成 本 。 另 一 方 
面 是 由 于 长 期 渗透 攻击 并 不 是 直接 针对 目标 , 待 对 供应 商 完 全 可 控 后 , 再 对 
最 终 目 标 发 起 攻击 , 往往 这 过 程 中 并 不 会 留 下 过 多 中 间 过 程 等 攻击 痕迹 , 这 
SRAM HA, 整个 攻击 过 程 都 是 以 年 为 单位 。 


基于 以 上 分 析 我 们 认为 未 来 供应 链 攻 击 会 持续 推陈出新 , 针对 目标 上 游 的 供 
应 商 攻击 将 会 成 为 APT 攻 击 中 的 标准 打 法 。 
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05, 继 续 紧 密 围绕 政治、 经 济 等 热点 领域 及 
事件 , 以 网 络 间谍 活动 为 主 


2020 年 我 国政 府 、 教育 和 国防 军工 是 重 灾区 , 其 中 教育 领域 更 多 是 针对 高 校 


科研 课题 等 , 其 意 


景 的 APT 组 织 , 政府 、 军 工 、 科 技 等 领域 是 长 期 持续 的 攻击 


政治 相关 的 攻击 ， 


图 是 禄 取 围 绕 新 兴 技 术 、 军 事 科 人 研 等 最 新 机 密 。 具有 国家 背 


目标 , 尤其 是 地 缘 


等 继续 成 为 常态 , 且 由 局 势 的 变化 会 直接 影响 攻击 频次 活跃 


度 。 涉 及 医疗 行业 由 于 新 冠 肺炎 疫情 的 长 期 持续 影响 , 在 出 现 重 大 突破 或 进展 


时 会 成 为 短期 攻击 目标 。 


随 着 “新 基建 ” 时 代 我 


国信 息 基 础 设施 快速 发 展 的 同时 , 除了 不 断 尝 试 针 对 新 


领域 的 攻击 探测 , APT 攻 击 也 将 伴随 着 5G 和 物 联 网 技术 的 发 展 具备 更 强大 的 


攻击 能 力 , 如 越 来 越 多 的 物 联 


在 过 去 几 年 间 , 全 球 各 


投入 , 我 国政 府 


的 机 遇 , 并 积极 探索 和 推进 。 随 之 而 来 的 是 以 
Lazarus 组 织 以 牟利 为 目的 , 而 更 多 是 想 偷 宕 中 国 在 数字 货 
况 和 政策 战略 方针 。 


网 设备 将 成 为 APT 组 织 新 的 战备 物资 。 


国 央行 都 看 到 了 货币 数字 化 的 大 趋势 , 并 加 大 了 相关 
民 早 就 看 到 了 央行 数字 货币 在 推动 人 民 币 国际 化 中 的 缠 藏 
国家 背景 的 APT 组 织 , 不 像 以 
A ra ERE S e By es 


另外 值得 注意 的 是 APT 攻 击 实施 过 程 中 会 呈现 出 对 相关 单位 或 个 人 有 极 强 的 针 


对 性 , 但 在 涉及 的 


涉及 的 央企 、 科 研 院 所 、 教育 机 构 等 都 会 成 为 重点 攻击 目标 。 


目标 领域 或 行业 则 会 尽 可 能 的 更 全 面 , 如 针对 军工 领域 , 相应 
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O6.RAIAPT AAR GRAS, 
归 因 需 长 期 持续 研判 


2020 年 越 来 越 多 的 未 知 APT 组 织 开 始 涌现 , APT 组 织 的 归 因 问题 取决 于 
APT 攻 击 活动 中 可 供 关 联 的 数字 证 据 是 否 充足 , 而 安全 厂商 的 安全 数据 资源 
是 否 足够 庞大 和 丰富 也 决定 了 攻击 归属 的 难 易 。 由 于 各 个 安全 厂商 安全 数据 
的 差异 , 因此 也 会 导致 不 同 的 分 析 视 角 , 对 同一 APT 组 织 的 归属 、 归 因 存 在 
争议 , 在 360 看 来 APT 组 织 的 归属 是 需要 进行 长 期 持续 研判 的 。 


目前 360 安 全 大 脑 持续 监控 的 APT 组 织 已 经 超过 了 50 个 , 但 其 中 仍 有 多 个 
APT 组 织 未 划分 归属 。 以 摩 订 草 组 织 (APT-C-09) 为 例 , 我 们 在 南亚 地 区 
APT 组 织 2019 年 度 报告 中 披露 了 一 款 全 新 的 后 门 程序 , 以 该 后 门 的 pdb 文 
件 将 其 命名 为 了 cnc_client, 由 于 该 后 门 程序 的 攻击 活跃 上 时间、 攻击 目标 与 
BW SARs, 以 及 部 分 利用 GITHUB 下 载 后 门 的 相似 手法 , 我 们 将 攻击 
归属 于 了 摩 订 草 组 织 (APT-C-09), 认为 是 该 组 织 使 用 的 众多 后 门 程序 之 
一 , 而 后 其 他 安全 厂商 也 纷纷 引用 了 其 归属 。 但 cnc_client 后 门 在 后 续 的 
攻击 活动 却 让 我 们 归属 确认 产生 了 动摇 , 以 CNC 小 组 定义 其 攻击 活动 , 由 
于 该 后 门 后 续 的 攻击 活动 展现 了 完全 的 独立 性 , 建立 了 完全 独立 的 C&C 和 
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鱼 叉 攻 击 基础 设施 , 利用 新 冠 肺炎 疫情 等 相关 题材 发 动 了 针对 医疗 机 构 的 定 
向 攻击 , MFA 2B ZO EN, 教育 和 智库 领域 , BRAN SAR 
(APT-C-09) 历 史 攻 击 数据 发 生 明 显 关 联 , 所 以 其 后 续 的 攻击 活动 应 该 确定 
为 未 知 APT 组 织 的 攻击 活动 。 


另 一 个 例子 是 魔 鼠 (APT-C-42), 该 组 织 最 早 的 攻击 活动 在 2017 年 , 其 在 
2018 年 日 本 互联 网 应 急 响 应 中 心 认定 为 僵尸 网 络 , 但 在 今年 美国 因为 其 针 
对 疫苗 开发 机 构 的 攻击 将 其 归属 为 APT29 组 织 , 而 360 安 全 大 脑 在 2019 年 
8 月 -2019 年 9 月 期 间 就 观测 到 了 该 组 织 针对 我 国 的 供应 链 攻击 行动 。 这 个 
组 织 的 攻击 活动 被 认定 为 是 APT 攻 击 整 整 跨越 了 3 年 时 间 , 同时 该 组 织 的 网 
络 武 器 和 技 战 术 完全 是 有 自身 鲜明 特点 , 与 APT29 组 织 的 技 战术 没有 了 明显 
关联 , 同时 历史 上 也 未 曾 披露 APT29 组 织 针对 我 国 的 攻击 行动 , 因此 我 们 有 
理由 认为 这 也 是 一 个 全 新 的 未 知 APT 组 织 。 


以 
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O7. EET BRER. E525 BI ELXSE TESI RAA 


不 断 出 现 


2020 年 针对 性 定向 勒索 攻击 大 幅 上 升 , 针对 英特尔 、 富 士 康 、 巴 西 航空 工业 
公司 、 日 本 汽车 制造 商 本 田 等 大 型 企业 的 勒索 攻击 就 有 二 十 多 起 。 其 中 今年 3 
月 Visser Precision 制 造 商 遭受 勒索 攻击 ””, 并 被 攻击 者 将 窃取 的 机 密 文件 
公之于众 , 导致 其 重要 客户 受到 影响 , 如 : 特 斯 拉 、 波 音 、 洛 克 希 德 ,马丁 公司 
和 SpacexX 等 行业 巨头 公司 。 这 些 被 勒索 的 企业 都 造成 了 不 同 程度 的 机 密 数 


据 泄露 、 业务 中 断 等 重大 影响 。 


由 此 可 见 这 些 以 牟利 为 主 的 勒索 攻击 , 其 危害 影响 似乎 不 亚 于 一 场 APT 攻 
E, 它 能 爆发 的 威力 似乎 比 我 们 想象 的 还 要 严重 。 那 勒索 攻击 是 否 仅 定 性 为 
金融 犯罪 , 其 攻击 意图 只 为 获得 赎金 ? 201 7 年 , 利用 伪装 成 NotPetya 的 勒 
索 病毒 发 动 了 针对 乌克兰 政府 、 金 融和 能 源 机 构 的 攻击 ”; SEREMARE 


的 由 Lazgarus 组 织 运营 的 VHD 勒索 软件 3; 疑似 背 


后 是 伊朗 政府 的 勒索 软 


件 组 织 Pay2Key, 12 月 20 日 声称 攻陷 了 以 色 列 最 大 的 国防 承包 商 一 一 以 色 


但 也 没有 任何 有 效 信息 可 以 联系 到 攻击 者 。 


列 航空 航天 工业 公司 (UAN 95, 在 此 之 前 该 组 织 已 经 攻击 了 多 家 以 色 列 公司 。 
以 及 我 们 发 现 针对 国内 某 行业 的 勒索 攻击 中 , 即使 用 户 愿 意 尝 试 支付 赎金 ， 


针对 这 些 攻击 我 们 很 难 确定 攻击 者 实际 目的 , 但 确定 的 是 攻击 给 用 户 造 成 J 
严重 的 影响 。 勒 索 攻 击 和 APT 攻 击 之 间 的 交集 逐渐 增多 , 勒索 攻击 更 像 是 一 


场 精心 策划 的 APT 攻 击 中 的 烟雾 弹 , 将 其 真实 攻击 意 


图 掩盖 。 
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附录 


十 
i'll 
ill: 
360 & XB 当 5O 安 全 大 脑 


360 基 于 安全 大 数据 、 知 识 库 和 专家 , 建设 了 360 网 络 安全 大 脑 和 网 络 安 全 
基础 设施 (情报 、 mo. mA Scd. 培训、 测绘 、 开 发 ) , 以 云 服务 方式 为 政 
F 企业 、 个 人 用 户 提 供 安 全 公共 服务 , 形成 了 新 的 安全 理念 和 方法 论 。 


360 网 络 安 全 大 脑 强 化 了 “精准 防 控 为 要 、 实 战 有 效 为 王 ” 的 价值 取向 , 着 眼 
安全 事件 的 “高 效 发 现 和 及 时 处 置 ”, 理 顺 识别 、 防 御 、 监 测 、 预 警 、 响 应 流 
程 , 推动 一 般 常 见 风险 及 时 处 置 、 高 级 重大 威胁 有 效 解决 、 预 防 关口 主动 前 
移 。 着 眼 防范 化 解 重 大 风险 , 聚焦 最 难 哨 的 骨头 、 最 突出 的 隐患 、 最 明显 的 短 
板 , 及 时 总 结 网 络 安全 风险 防 控 经 验 , 研究 开发 务实 有 效 的 安全 原生 服务 。 强 
化 互联 网 体系 与 政 企 体 系 的 协同 联动 , 让 网 络 安全 体系 回归 保障 业务 的 本 质 。 


研究 机 构 


E 
。360 高 级 威胁 研究 院 f) 260 d 


60 高 级 威胁 研究 院 是 360 政 企 安全 集团 的 核心 能 力 支 持 部 门 , 由 360 资 深 
安全 专家 组 成 , 专注 于 高 级 威胁 的 发 现 、 防 御 、 处 置 和 研究 , 曾 在 全 球 范 转 
先 捕获 双 杀 、 双 星 、 置 梦 公 式 等 多 起 业界 知名 的 0dqay 在 野 攻 击 , 独家 披露 
家 级 APT 组 织 的 高 级 行动 , 赢得 业内 外 的 广泛 认可 , 为 360 保 障 国家 网 
提供 有 力 支撑 。 


W 
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360 烽 火 实 验 室 致 力 于 移动 恶意 软件 分 析 、 移 动 灰 黑 产 研究 、 移 动 威胁 预警 、 移 动 
APT 的 发 现 与 追踪 等 移动 安全 领域 的 深入 研究 。 作为 全 球 顶级 移动 安全 生态 研究 实 
验 室 , 360 烽 火 实 验 室 在 全 球 范围 内 不 仅 首 发 了 多 篇 具备 国际 影响 力 的 移动 安全 生 
态 研 究 成 果 , FB ADIT IS TS Re. RR 北非 狐 等 多 个 APT 组 织 针对 我 国 及 境 


外 重要 目标 的 攻击 活动 。 实验 室 在 为 360 手 机 卫士 、 360 手 


P < 


BGORARHE 


EF. 360MERSA 


司 产品 提供 核心 安全 数据 的 同时 , 也 为 科研 单位 、 手 机 厂商 、 应 用 商店 及 上 百 家 国 内 
外 合作 伙伴 提供 了 移动 应 用 安全 检测 服务 , 全 方位 守护 移动 


。360 网 络 安全 研究 阮 


360Netlab (网 络 安 全 研究 院 ) 是 360 公 司 负 责 大 网 范围 内 的 基础 网 络 数据 安全 分 


析 和 僵尸 网 络 发 现 、 分 析 和 跟踪 的 核心 研究 部 门 。 其 运营 着 


B 


安全 


国内 公开 的 最 大 和 最 悠久 


久 PassiveDNS 数 据 库 , 其 研发 的 DNSIMonmn 系 统 在 无 规 贝 


上 的 情况 下 , 提前 发 现 并 拦 


截 了 数 十 种 恶意 程序 所 使 用 的 主 控 域 名 。 在 僵尸 网 络 研究 方面 , 首次 发 现 并 命名 了 如 


satori, godlua, DDG, Gpon, Mozi 等 十 余 种 众多 影 


积极 参与 国际 合作 共同 打击 网 络 犯罪 , 获得 了 美国 司法 部 和 


。360 反 病毒 部 


360 反 病毒 部 是 360 政 企 安全 
组 成 , 负责 流行 病毒 木马 的 监测 、 防 御 、 处 置 和 新 安全 威胁 
统 、360 反 勒索 服务 等 基础 安全 服务 , 为 用 户 提 供 有 横向 渗透 防护 、 无 文件 攻击 防 
户 、 软 件 动 持 防护 、 挖 矿 木马 防护 等 多 项 防护 功能 , 近年 来 发 布 有 Wannalxen 勒 索 
病毒 调查 , 外 贸 企 业 钓 鱼 攻 击 分 析 等 各 类 安全 风险 提醒 , 保护 广大 网 民 上 网 安全 。 


i 


响 巨 大 的 僵尸 网 络 。 同 时 
FBI 的 多 次 公开 致谢 。 


团 的 核心 能 力 支持 部 门 , 由 360 一 线 对 抗 防御 专家 


研究 。 维护 有 360 主 防 系 
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